嚴肅的密碼學：實用現代加密術（簡體書）

序

如果您對有關計算機安全的書有所涉獵，那麼很可能見過密碼學領域中常見的一個觀點：“密碼學是安全鏈中最牢固的一環。”如此說法誠然是一種贊美，但也有些盲目自大——如果密碼技術已經牢不可破了，為什麼還要花時間改進它，而不去投資那些安全系統中更值得改進的部分呢？

如果您只能從本書中學到一件事，那麼我希望它是——以上這種對密碼學的觀點太過理想化，甚至很大程度上是一個神話。理論上，密碼學很強大，但在實踐中，在經驗不足或者粗心大意的情況下進行的密碼應用，和安全系統的其他方面一樣很容易發生問題，而現有的許多密碼系統就確實如此。而且情況正變得更糟：當密碼應用失效時，它們往往也“失效得各有千秋”。

那麼，您為什麼應該關心這些，又為什麼需要這本書呢？

當我在二十年前從事應用密碼學領域的工作時，軟件開發人員可用的信息往往是零碎而過時的。密碼學專家開發了算法和協議，密碼學工程師實現了這些算法和協議，並面向其他專家建立了不透明且文檔記錄很少的密碼學庫。這就造成了理解密碼算法的人與使用密碼算法（或無視密碼算法）的人之間存在巨大的鴻溝。市面上確實有些不錯的理論教材，但真正為開發實踐者提供有用工具的書卻很少。

現實中的情況並不理想，諸如人們對“CVE（通用漏洞披露）”和“威脅度：高”等報警的忽視和妥協，其中有些甚至是“TOP SECRET”級別的攻擊。您可能會更熟悉一些較著名的攻擊案例，因為它們影響了您所依賴的系統。之所以會出現許多此類問題，除了因為密碼學本身是精妙且優雅的，還因為密碼學專家未能與實際編寫該軟件的工程師分享他們的知識。

值得慶幸的是，這種情況已經開始改變，而本書就是這種改變的一部分。

Serious Cryptography（本書的英文書名）是由應用密碼學領域最著名的一位專家撰寫的，並且本書不是面向其他專家的。同樣，本書也不打算作為該領域的概述，而是包含對密碼工程深入且最新的討論，旨在幫助想在這個領域做得更好的從業者。在本書中，您不僅能學習到密碼算法的工作原理，而且還將學習如何在實際系統中使用它們。

本書首先探討了許多關鍵的密碼學原語，包括分組密碼、公鑰加密體制、哈希函數和隨機數發生器等基本算法。每章都提供了有關算法如何工作，以及您應該或不應該做什麼的工作示例。最後幾章介紹了TLS等高級主題，以及密碼學的未來——在量子計算機到來後我們該怎麼做。

雖然一本書不能解決所有的問題，但是學一點知識也定將有所裨益。這本書包含很多這樣的知識，也許足以將現實中已部署的一些密碼系統改進到人們期望的程度。

祝您閱讀愉快。

Matthew D. Green

約翰斯·霍普金斯大學信息安全研究所教授

前言

寫一本“我初學密碼學時想要讀的那本書”是我創作本書的動機。2005年，我在巴黎附近攻讀碩士學位，並在即將到來的學期中滿懷熱情地選了密碼學課程。不幸的是，由於選課的學生太少，這門課竟被取消了。學生們總抱怨“密碼學實在太難了”，然後就都去選了計算機圖形學和數據庫課程。

從那以後，我聽到“密碼學很難”有十多次。但是密碼學真的那麼難嗎？演奏樂器，掌握編程語言，或將任何引人入勝的領域的應用付諸實踐，確實需要學習一些概念和符號，但它們還不至於難到需要一個博士學位。我認為要想成為一名合格的密碼學家，這個道理也同樣適用。我還認為，密碼學之所以被說很難，是因為密碼學家沒有很好地講授密碼學。

我覺得需要本書的另一個原因是，密碼學不再只是單純地研究密碼，它已經擴展到了多學科領域。要進行與密碼學相關的工作，還需要對密碼學相關的概念有所了解，例如，網絡和計算機如何工作，用戶和系統需要什麼，以及攻擊者如何利用算法及其實現。換句話說，我們需要與現實聯系，把理論落地。

本書的方法論

本書原本的標題是Crypto for Real，以強調我打算講述的是面向實踐的、真實世界的知識，而非那些沒有實際意義的方法論。我不想通過簡化來使加密變得容易實現，而是將其與實際應用結合在一起。我在本書中提供了源代碼示例，並描述了實踐中肯定會出現的問題及其災難性的後果。

除了與現實的明確聯系，本書的其他兩個出發點是簡捷性和現代性。我更著重於形式上的簡捷性：不是通過枯燥的數學形式主義提出概念，而是著眼於加深對密碼學核心思想的理解，這比記住一堆方程式更重要。為了確保本書的現代性，我介紹了加密技術的最新發展和應用，例如，TLS 1.3和後量子加密技術。我不會花費大量筆墨去討論DES或MD5等過時或不安全的算法的細節，不過RC4是一個例外，但也僅包括說明它的弱點並顯示此類序列密碼的工作原理。

本書既不是加密軟件的指南，也不是技術規範文檔，畢竟您可以在網上輕松找到這些內容。本書的首要目標是讓您對加密技術充滿熱情，並一路向您傳達其引人入勝的概念。

本書面向的讀者

在寫作時，我常把讀者想象成一個曾經接觸過密碼學，但在嘗試閱讀大量的教科書和研究論文後仍然感到無所適從的開發人員。開發人員經常需要並且想要更好地掌握密碼學，以避免錯誤的設計選擇，我希望這本書在這方面會對他們有所幫助。

但是，如果您不是開發人員也不要擔心！本書不需要任何編程技能，任何了解計算機科學和具有大學數學（概率論、模算術等）基礎的人都可以使用。

盡管它具有相對較低的入門門檻，但是本書還是有一些挑戰性的，仍需要讀者付出一些努力才能做到深入理解。我喜歡用登山作為類比：作者為您規劃了道路，為您提供了繩索和冰鎬，但還需要您自己進行攀登。學習本書中的概念可能會很費力，但最後一定會有所收獲。

本書的結構

本書共有14章，大致分為4個部分。除第9章為後續的3章奠定基礎之外，各章大多彼此獨立。但我還是建議您先閱讀前3章。

基礎部分

l 第1章：介紹了安全加密的概念，從較弱的筆紙密碼到強大的隨機加密。

l 第2章：描述了偽隨機數發生器的工作原理，如何保證其安全性以及如何安全地使用它。

l 第3章：討論了安全性的理論和實踐概念，並對可證明的安全性與概率安全性進行了比較。

對稱密碼部分

l 第4章：介紹了以分組為單位處理消息的密碼，重點介紹了著名的AES，即高級加密標準。

l 第5章：介紹了一種看起來是隨機比特流的密碼——序列密碼，要想解密需要將其與密文進行異或運算。

l 第6章：介紹了哈希函數，其是唯一不需要密鑰的密碼算法，而事實證明這也是最普遍使用的密碼體制基本模塊。

l 第7章：介紹了密鑰哈希，其解釋了將哈希函數與密鑰結合使用會發生什麼，以及它如何用於驗證消息。

l 第8章：通過例子介紹了一些同時對消息進行加密和身份驗證的算法（例如，標準AES-GCM）。

非對稱加密部分

l 第9章：使用計算復雜度的概念介紹了公用密鑰加密背後的基本概念。

l 第10章：介紹了RSA，其利用大整數分解難題，以簡單的算術運算構建安全的加密和簽名方案。

l 第11章：介紹了Diffie-Hellman協議將非對稱密碼擴展到密鑰協商的概念，其中，通信雙方通過非秘密值來建立共同的秘密值。

l 第12章：對橢圓曲線密碼學進行了簡要介紹，橢圓曲線密碼學是速度最快的一種非對稱密碼學。

應用部分

l 第13章：介紹了傳輸層安全性，可以說它是網絡安全中最重要的協議。

l 第14章：介紹了量子計算和新型密碼學的概念，以這些科幻的未來密碼作為結尾。

致謝

我要感謝Jan、Annie和其他No Starch的員工，他們為本書做出了巨大貢獻。尤其是Bill，他從一開始就信任這個項目，感謝他耐心地解決棘手的問題，把粗糙的手稿變成正式的書稿。我還要感謝Laurel，她使得這本書的外觀變得如此精美，並處理了我的許多修改請求。

在技術方面，如果沒有以下人員的幫助，本書將包含更多錯誤和不準確之處：Jon Callas、Bill Cox、Niels Ferguson、Philipp Jovanovic、Samuel Neves、David Reid、Phillip Rogaway、Erik Tews，以及所有對早期版本提供錯誤報告的讀者。最後，感謝Matthew Green為本書撰寫了序言。

我還要感謝我的雇主Kudelski Security，其讓我有時間寫這本書。最後，我對Alexandra和Melina的支持和耐心表示最誠摯的感謝。

第1章 加密

古典密碼

凱撒密碼

維吉尼亞密碼

密碼是如何工作的：置換|操作模式

完美的加密：一次一密體制

加密安全性

非對稱加密

加密之外的密碼學

認證加密|格式保持加密|全同態加密|可搜索加密|可調加密

意外如何發生：弱密碼|錯誤模型

第2章 隨機性

作為概率分布的隨機性

熵：不確定性的度量指標

隨機數發生器和偽隨機數發生器

現實世界中的PRNG

在基於UNIX的系統中生成隨機比特

Windows中的CryptGenRandom()函數

基於硬件的PRNG：英特爾微處理器中的RDRAND

意外如何發生：熵源不理想|啟動時熵不足|非加密PRNG|對強隨機性的采樣漏洞

第3章 密碼學中的安全性

理論上安全：信息安全性|實際安全：計算安全性

以比特度量安全性|全攻擊成本|選擇和評估安全強度

安全實現：可證明安全性|啟發式安全性

生成對稱密鑰|生成非對稱密鑰|保護密鑰

意外如何發生：不正確的安全性證明|支持遺留系統的短密鑰

第4章 分組密碼

安全目標|分組大小|碼本攻擊

如何構造分組密碼：分組密碼的輪數|滑動攻擊和子密鑰|替換-置換網絡|Feistel結構

高級加密標準（AES）：AES內核|使用AES

實現AES：基於查詢表實現|原生指令集

電碼本模式（ECB）|密碼分組鏈接（CBC）模式|如何在CBC模式中加密消息|計數（CTR）模式

意外如何發生：中間相遇攻擊|Padding Oracle攻擊

第5章 序列密碼

基於狀態轉移的和基於計數器的序列密碼

面向硬件的序列密碼：反饋移位寄存器|Grain-128a算法|A5/1算法

面向軟件的序列密碼：RC4|Salsa20

意外如何發生：nonce的重復使用|破解RC4|硬件燒制時的弱密碼

第6章 哈希函數

哈希函數的安全性：不可預測性|原像攻擊抗性|抗碰撞性|查找碰撞

基於壓縮的哈希函數：Merkle–Damgård結構

基於置換的哈希函數：海綿函數

哈希函數SHA系列：SHA-1|SHA-2|SHA-3競賽|Keccak（SHA-3）

BLAKE2哈希函數

意外如何發生：長度擴展攻擊|欺騙存儲證明協議

第7章 帶密鑰的哈希

安全通信中的消息認證碼|偽造和選擇消息攻擊|重放攻擊

偽隨機函數：PRF的安全性|為什麼PRF比MAC更安全

加秘密前綴的構造方法|帶秘密後綴的構造方法

HMAC的構造方法|針對基於哈希的MAC的一般攻擊

由分組密碼構造的帶密鑰哈希：CMAC：破解CBC-MAC|修改CBC-MAC

專用設計：Poly1305|SipHash

意外如何發生：針對MAC認證的計時攻擊|當海綿結構泄露

第8章 認證加密

使用MAC的認證加密

使用關聯數據的認證加密|使用nonce來避免可預測性

怎樣才是一個好的認證加密算法

AES-GCM：認證加密算法標準

OCB: 比GCM更快的認證加密算法

SIV是最安全的認證算法嗎

基於置換的AEAD

意外如何發生：AES-GCM和弱哈希密鑰|AES-GCM和短標簽

第9章 困難問題

計算困難性：測量運行時間|多項式時間vs超多項式時間

復雜度的分類：非確定多項式時間|NP完全問題|P問題vs NP問題

因數分解問題：實踐中的分解大數算法|分解算法是NP完全的嗎

離散對數問題

意外如何發生：小規模的困難問題並不困難

第10章 RSA

RSA背後的數學概念

RSA陷門置換

RSA的密鑰生成和安全性

利用教科書式RSA加密的擴展性進行攻擊|加強版RSA加密：OAEP

針對教科書式RSA簽名的攻擊|PSS簽名標準|全域哈希簽名

RSA的實現：快速求冪算法：平方乘|用於更快公鑰操作的小指數|中國剩餘定理

意外如何發生：針對RSA-CRT的Bellcore攻擊|共享秘密指數或共享模數

第11章 Diffie-Hellman

Diffie-Hellman函數

Diffie-Hellman問題

非DH密鑰協商協議示例|密鑰協商協議的攻擊模型

匿名Diffie-Hellman協議|含身份驗證的Diffie-Hellman協議|Menezes–Qu–Vanstone（MQV）協議

意外如何發生：不哈希共享秘密|TLS中Diffie–Hellman的歷史遺留問題|不安全的群參數

第12章 橢圓曲線

整數上的橢圓曲線|加法點和乘法點|橢圓曲線群

ECDLP問題

橢圓曲在線的Diffie–Hellman密鑰協商

NIST曲線|曲線25519

意外如何發生：隨機性差的ECDSA|用另一條曲線破解ECDH

第13章 TLS

TLS協議套件：TLS和SSL協議家族的簡單歷史

TLS握手協議|TLS 1.3的密碼算法

TLS 1.3對TLS 1.2的改進：降級保護|單次往返握手|會話恢復

TLS安全性的優勢：認證|前向保密性

意外如何發生：不安全的證書頒發機構|不安全的服務器|不安全的客戶端|實現中的缺陷

第14章 量子和後量子時代的密碼學

量子計算機的工作原理：量子比特|量子門

量子加速：指數加速和Simon問題|Shor算法的威脅

Shor算法解決因數分解問題|Shor算法和離散對數問題|Grover算法

為什麼制造量子計算機如此困難

後量子密碼算法：基於編碼的密碼|基於格的密碼|基於多變量的密碼|基於哈希的密碼

意外如何發生：不明晰的安全水平|快進：如果太晚會發生什麼|實現問題