modified	Thursday 1 May 2025

Edited: Thursday 1 May 2025

13.1 安全和隐私概述

信任的概念在安全领域一再出现。目

前考虑三类违反信任的行为 :
皿 _ 菊意 “ 例子包括索尼 BMC 在客
户计算机上安装的 2005 rootkit
( 绕过保护的软件集合 ) , 以双几
年前联想笔记本电脑上弹出的广告
传递恶意软件 ( malware ) 。这些
不是用户意外安装的程序 , 而是由
计算机供应商安装的。
皿 “ 不合格 “ 例子包括未加密的无
线胎压传感器 , 它使你的汽车有可
能或为攻击目标 , 新版美国护照中
的未加密 RFID 标签可以很宰易地检
测出携带者身份 , 或者正在讨论的
拟议车辆对车辆通信林准将使车辆
成为不良信息的目标。攻击者已经
找到了一种无须知道管理员密码就

1064 11353
13.1 安全和隐私概述
可以访问和更改大量 Wi-Fi 路由器
中的设置的方法。在极其危险的类
别中 , 西门子在其一些工业控制系
统中加入了一个硬编码密码 , 这意
味着任何拥有该密码的人都可以访
问被认为安全的设备。在思科的一
些产品中也发现了一个硬编码密
码。这今为止 , 最大的 DDoS5 攻击
( 稍后讨论 ) 是杭州雄迈公司的物
联网设备的默认密码。这些可悲的
事件都让人回想起与 “ 模糊安全 “
思维模式相结合的 “ 什么可能出问
题 “ 威胁模型 ( 稍后将详细介
绍 ) 。
皿 _ 不真诚 “ 就是人们直截了当地
撒谎。我将在 13.1.7 节中更多地讨
论这个问题。一个很好的例子是
美国国家标准与技术研究所 ( N15
106511353
13.1 安全和隐私概述
T ) 在美国国家安全局 ( N5A )
“ 专家 “ 的协助下制定加密标准。
事实证明 ,NSA 的专家故意削弱了
标准 , 而不是加强了标准。这让他
们更宰易暗中监视 , 同时也让别人
更家易破解你的银行账户。违反信
任的栾例是如此普道 , 以至于盗用
( kleptography ) 一词被创造出来
用于描述对手秘密而安全地窃取俘
息这类侵犯。
短语 security by “obscurity ( 隐匿的
安全 ) 是用来分类声称事物是安全
的 , 因为秘密武器就是秘密。事实一
再证明不是这样。事实上 , 更好的安
全性来自逢明性 (transparency) 和
开放性 (openness) 。当尽可能多的
人了解所使用的安全方法时 , 就会促
进对缺陷的讨论和发现。历史告诉我
1066 11353
13.1 安全和隐私概逊
合理给出定义 , 可能是因为当时理智
的人理解巳。请注意 , 这项修正案贿
予人民安全 , 而不是整个民治、民
享的国家。
问题的核心是 , 政府保护人民的责任
是否比这些人的权利更强大。
大多数人在知道有人保护自己安全的
情况下都会放松下来。我们可以把巴
看作一种社会契约。不幸的是 , 这种
社会契约已经被违反信任的行为破坏
于。
有一种俯见 , 完全没有事实根据 , 即
执政者比其他人更好或更诚实。
执政者充其量像外面随处可见的人 ,
有的是好人 , 有的是坏人。执法人员
犯罪的证据已经够多了。一个使这种
情况加重的原因是保密性。缺乏监督
1085 1 1353
13.1 安全和隐私概述
和问责的职位往往会坏人聚集 , 这就
是为什么透明和开放的理念是艮好信
任模型的基础。例如 , 作为 20 世纪 60
年代精神控制实验的一部分 , 美国中
情局非法给一些男子服用 LSD 并观察
他们的反应。这个被称为 MKUItra 的
项目没有受到任何监督 , 导致至少一
名不知情的受试者死人。 MKUItra
被关停后 , 特工 George White 说 :
“ 除了这里 , 还有什么地方能让一个
热血沸腾的美国男孝在上帝的准许和
祝福下撒谎、杀人、欺骗、偷窃、强
奸和抢劫呢 ?“ 在 J、Edgar Hoover 领
导下的联邦调查局 (FBlI) , 有过相当
多的滥用政治职权的历史一一不仅是
出于政治目的进行间谍活动 , 还积极
破坏感知到的敌方活动。
最近曝光了越来越多的滥用信任行
1086 1 1353
13.1 安全和隐私概述
为 , 考虑到保密和缺尹监督 , 被曝出
的可能只是实际上滥用信任事件的一
小部分。与本章最相关的是爱德华 . 斯
诺登 (Edward Snowden) 曾揭露的
非法政府监祈。
没有监督 , 很难判断政府的保密到底
是在掩盖非法活动 , 还是仅仅是无
能。早在 1998 年 , 美国政府就鼓励使
用一种称为数据加密标准 (DES) 的
加密方案。电子前沿基金会 (Electro
nic Frontier Foundation, EFF) 花了
大约 25 万美元 ( 远低于美国国家安全
局的预算 ) 建造了一台名为深裂的
机器 , 破译了 DES 代码。他们这样做
的部分原因是为了指出要么机构专家
不称职 , 要么这些专家在算法的安全
性上撒了谎。EFF 试图揭露为方便美
国间谍而犯下的违反信任的行为。
1087 / 1353
13.1 安全和隐私概述
EFF 在某种程度上起了作用 , 虫然平
没有改变那些机构专家的行为 , 但它
确实促进了取代 DES 的高级加密标准
的发展。
违反信任有国际影响。人们不愿购买
会使安全性受损的产品。外包这一商
业模式也带来了威胁。你的国家可能
有法律保护你的信息 , 但其他地方的
人可能有权访问这些数据。曾经有过
出售外包数据的栾例。最近有迹象表
明 , 外界获取的个人数据已被用于干
预政治进程 , 这可能意味着威斯特
伐利亚主权的终结。
违反信任也会影响自由。当人们在线
上开会或交流时会害怕被跟踪 , 或进
行自我审查时 , 就会产生寒蝉效
应 “ 。有大量的历史证据表明 , 寒蝉
1088 1 1353
13.1 安全和隐私概述

途 ? 当你走在能认出你脸的商店前

时 , 你会不会开始收到有针对性的广

告 ? 第三 , 塑料指纹和假视网膜 , 这

些是在科幻电影中出现过的 , 已经在

现实生活中被证实 : 生物特征数据比

密码更容易伪造。

13.1.8 身份验证与授权

我已经提到了身份验证和授权。身份

验证是证明某人或标物是人所声称的

那样。授权是限制对某些东西的访

问 , 除非提供了适当的凭证 “。

授权可以说是两者中比较容易实现的

一种功能 ; 它需要正确设计和实现的

硬件与软件。身份验证要复杂得多。

一个软件怎么能分辨出是你输入了密
1090 11353
13.1 安全和隐私概述
码还是别人输入的 ?
双因素身份验证 (2FA) 现在可用于
许多系统。一个因素是一个独立的核
查手段。这些因素包括你特有的东西
( 比如指纹 ) 、你拥有的东西 ( 比如
手机 ) , 以及你知道的东西 ( 比如密
码或个人识别码 ) 。因此 , 双因素身
份验证使用其中两个因素。例如 , 使
用帝有 PIN 码的银行卡张输入一个手
机验证码提供一次性代码验证服务。
其中一些系统比其他系统工作得更
好。显然 , 向其他人可以访问的手机
发送消息是不安全的。部分手机基础
设施使得依赖 2FA 很危险。攻击者可
以使用你的电子邮件地址和其他容易
获得的信息将你的电话号码移植到他
们控制的手机 SIM 卡上。这不仅让他
们可以访问你的数据 , 而且还让你不
109111353
13.1 安全和隐私概述
能访问你的账户。
1092 1 1353
_13.2 密码学
正如我前面提到的 , 密码学允许发送
者对通信进行加密 , 以便只有指定的
接收者才能解密乙。当你从银行账尸
取钱时 , 这一点就非常重要了 , 你不
希望别人也能这么做。
然而 , 加密技术不仅仅对隐私和安全
很重要。加密签名允讯人们证明数据
的真实性。过去 , 如果对信息来源有
疑问 , 可以查阅实物原件。文档、音
频、视频等通常不存在这些实物原
件 , 因为这些都是在计算机上创建
的 , 从未被简化为物理形式。加密技
术可以用来防止和检测伪造。

1093 11353
13.2 密码学

不过 , 光靠加密技术并不能把你的城

堡变成一座强大的堡垒。密码只是安

全系统的一部分 , 所有部分都很重

要。

13.2.1 隐与术

把一件事藏在另一件事里的技术叫作

飒写术。隐写术是交流秘密的好方

法 , 因为发送者和接收者之间没有可

追踪的联系。隐写术以前是通过报纸

分类广告来实现的 , 但现在通过网络

实现更便捷 , 因为几乎有无限多的位

置可以发布信息。

隐写术在技术上不是密码学 , 但它对

我们的目的来说已经足够了。请看图

13-1。左边是鸭子先生和托尼猫的照
1094 1 1353
13.2 密码学
出处。这种用法类似于纸张上的水
印。
几乎每台计算机打印机都使用隐写
术。EFF 收到了一份回应美国《信息
自由法》要求的文件 , 该文件表明政
府和制造商之间存在一项秘密协议 ,
以确保所有印刷文件都是可追踪的。
例如 , 彩色打印机会在每一页上添加
一些黄色的小点来编码打印机的序列
号。EFF 分发了特殊的 LED 手电简 ,
可以用来找到这些黄色的小点。以上
的行为可能被认为是对隐私的侵犯。
13.2.2 “ 替代密码
如果你有一个秘密解码器环 , 它可能
实现了兼代密码。秘密解码环的思想
1098 1 1353
13.2 密码学
出处。这种用法类似于纸张上的水
印。
几乎每台计算机打印机都使用隐写
术。EFF 收到了一份回应美国《信息
自由法》要求的文件 , 该文件表明政
府和制造商之间存在一项秘密协议 ,
以确保所有印刷文件都是可追踪的。
例如 , 彩色打印机会在每一页上添加
一些黄色的小点来编码打印机的序列
号。EFF 分发了特殊的 LED 手电简 ,
可以用来找到这些黄色的小点。以上
的行为可能被认为是对隐私的侵犯。
13.2.2 “ 替代密码
如果你有一个秘密解码器环 , 它可能
实现了兼代密码。秘密解码环的思想
1098 1 1353
13.2 密码学

非常简单 : 构建一个将每个字符映射
到另一个字符的表 , 如图 13-2 所示。
通过将每个原始字符替换为表中的对
应字符来加密消息 , 并通过相反的操
作进行解密。原始消息称为明文 , 加
密版本称为密文。

]
回固四四团网团回团凶团囡四团囚回四四团回皿团四固面西
图 13-2 “ 曾代密码
这些密码将 c 映射到 a,r 映射到 t,y 映
射到 j , 以此类推 , 因此单词
cr y pto gra p h y 将被加密为
atjgvketqgnj。反向映射 (a 到 c,t 到
r, 等等 ) 解密密文。这些密码被称为
对称码 , 因为使用同一个密码用于对

消息进行编码和解码。
1099 1 1353
13.2 密码学
为什么使用对称码不是个好主意 ? 因
为利用统计学的知识就很容易破解替
代密码。人们分析了字母在语言中的
使用频率。例如 , 在英语中 , 最常见
的五个字母是 e、t、a、o、n。破解
一个替代密码需要找到密文中最常见
的字母 , 并且猜测这个字母为 e。一
旦猜对了几个字母 , 就很容易破译出
一些单词。让我们以列表 13-1 中的明
文段落为例 , 我们将使其全部小与 ,
并删除标点符号以保持筒洁。

列表 13-1 “ 明文示例
刀 e 一标 0 e 国 I
下面是使用图 13-2 的密码表加密后的
密文 :

1100 11353
13.2 密码学
| 口工 3 二 | _
列表 13-2 显示了经过加密后的段落中
字母的分布情况。列表 13-2 按孙母频
率排序 , 最常出现的字母在最上面。
列表 13-~-2 词频分析
密码破译者可以利用如上分析猜测出
密文中的字母 z 对应于明文中的字母
e, 因为密文中的字母 z 比任何其他字
母出现频率都多。继续沿着这个思
路 , 我们还可以猜测 v 代表 t,q 代表
11011 1353
13.2 密码学
a, k 代表 o6,x 代表 n。让我们用大与
字母来替换猜测出的字母 , 这样就可
以把已们分开了。
__〕`藿′宣趸薯扇e…薯菖蓄菖技明怀余 e 余 e 国 l
我们可以根据英语常识做一些简单的
猜测。很少有三个字母的单词以 t 开头
以 e 结尾 ,the 是符合这个条件的单词
里最常见的 , 所以让我们猜测 n 代表
h。Linux 系统很容易查找出这样条件
的单词 , 因为 linux 有一个单词字典和
一个模式匹配工具 ; grep“^t.e$,/usry/
share/dict/words 查找所有以 t 开头、
以 e 结尾的三个字母的单词。而且 ,
cEET cE 中的 c 只有一个能使语法正确
的选择 , 即 m。
| n 仪余 e _ _
1102 1 1353
13.2 密码学
只有四个单词与 o 口 en 相匹配 :
omen、open、oven 和 oxen; 只有
open 在上下文中有意义 , 所以 g 必须
是 p。同样 , 使 open 口 ate 唯一有意义
的单词是 gate, 所以 e 必须是 g。以 o
开头的两字母的单词只有 of 一个 , 所
以 w 必须是 f。j 必须是 y, 因为 and 和
ant 放到文中无意义 ,any 才有意义。
| n Dneppofott 传吴倩应 M 0 E fT 目 _
我们不需要解码全部信息 , 统计学和
语言知识就可以帮我们轻松解码。到
目前为止 , 我们只使用了简单的方
法。我们也可以使用普通字母对的知
识 , 如 th、er、on 和 an, 称为有向
图。有针对 ss 这种最常见的双字母的
统计学方法 , 还有很多技巧。

1103 / 1353
13.2 密码学

如你所见 , 简单的替代密码很有趣 ,

但忆并不十分安全。

13.2.3 换位密码

另一种加密的方法是对字符的位置进

行编码。据说希腊人使用过一种古老

的换位密码系统是 scytale。挨位密码

系统听起来高大上 , 但其实人只利用

了一根缠着丝带的木棍。信息沿着木

棍不在缠绕在木棍的丝带上。额外增

加的虚拟消息另起一行与在丝带上。

于是这根木棍包含了一组随机出现的

字符。解码信息需要收件人将丝帝缠

绕在一根直径与编码棍相同的棍子

上。

我们可以通过在一个特定大小的网格
1104 1 1353
13.2 密码学
中写一条消息来轻松生成一个换位密
码 , 网格的大小就是密码。例如 , 让
我们把列表 13-1 中的明文去掉空格写
在 11 列的网格上 , 如图 13-3 所示。我
们将用斜体孙填充在下面的空白处。
为了生成底部显示的密文 , 我们向下
读取列而不是跨行读取。
E E e e
| 吊刑 | 吊吴 | 吊吴 | 吊吴 | 吉吴 | 命吴 | 吴吾 | 吊吴 | 吊刑 | 呆创 | 耿
| l z | 一 | | 1 | | | 1
L | s | | 。 | a 1 | 。 | | e | | 1
| 吊 | 国 | 医刹 | 医玲肖园肖班酒刑医刹医国医刹 | 匹刀
| 命刃 | 吊吊 | 吊吊 | 吴口 | 吊刃 | 吊吊 | 口 | 吴咤 | 口 l
| 团吊 | 医刹团刹医刹 | 刑 | 不刹 | 团四 | 医刹匹切区刻医四
图 13-3 换位密码格
换位密码中的字母出现的频率与明文
中字母出现的频率相同 , 但这点在这
里并没有多大帮助 , 因为单词中孙母
的顺序也是乱序的。然而 , 像这样的
1105 11353
13.2 密码学
密码仍然很容易被破译 , 特别是现在
计算机可以尝试不同的网格大小。
13.2.4 “ 更复权的密码
有无数种更复杂的密码 , 它们是替代
密码、换位密码或两者的组合。常见
的做法是将字母转换成数字值 , 然后
在对数字执行一些数学运算后将数字
转换回字母。添加了一些代码包括额
外的数字表 , 以使字母频率分析失去
效果。
在第二次世界大战期间与破译密码有
关的历史令人着迷。当时破译密码的
方法之一是监听无线电传送的信息。
这些截获的情报在被详尽地统计分析
后 , 最终被破译。人类识别模式的能
1106 11353
13.2 密码学
力是能否破译密码的一个关键因素 ,
一些巧妙的诡计也是一个关键因素。
从已知事件的信息中也能找到线索。
美国在中途岛海战中取得了重大胜
利 , 因为他们知道日本人将要发动进
攻 , 只是不知道日本人将对哪里进
攻。美国人破译了密码 , 但日本人使
用代号 AF 作为进攻目标。美国人安排
了从中途岛发出一条信息 , 他们知道
会被日本人拦截 , 信息说岛上缺乏淡
水。很快 , 日本人用他们的密码重新
发送了这条信息 , 于是美方确认了 AF
代表中途岛。
密码的复杂性受限于人类速度。虽然
在美国有一些穿孔卡片制表机来帮助
破译代码 , 但这是在计算机时代之前
的情况。那时代码必须是简单的 , 以
1107/1353
13.2 密码学
便消息能很快被编码和解码。
13.2.5 “ 一次一密
最安全的加密方法被称为一次一密 ,
可以追溯到美国密码学家 Frank Miller
(1842 一 1925) 在 1882 年的研究成
果。一次一密是一组唯一的替代密
码 , 每个密码只使用一次。一次一密
这个名字来源于密码印在纸上的方
式 , 一旦上面的密码用完就可以被移
除。
假设我们想对之前的消息进行编码。
我们从笔记本上获取一个类似于列表
13-3 的页面。

列表 13-3 “ 一次一密

1108 1 1353
13.2 密码学
一 ss 一
它的工作原理是将原始消息中的每个
字母转换为 1 到 26 之间的一个数字 ,
就像一次一密中每个对应的字母一
样。这些值是用 26 进制算术相加的。
例如 , 消息中的第一个字母是 T, 它
的值为 20。它与一次一密中的第一个
字母配对 , 即与 F 配对 , 值为 6。T 和 F
加在一起 , 值为 26, 因此编码字母为
Z。同样 , 第二个字母 H 的值为 8, 与
G 配对 ,G 的值为 7, 因此编码字母为
O 〇。消息中的第四个字母为 Y, 值为
24, 与值为 4 的 D 配对 , 结果为 28。
然后 , 减去 26, 余 2, 得到编码孙母
B。解密使用的是减法而不是加法。
一次一密是完全安全的 , 只要使用得
1109 11353
13.2 密码学
当 , 但存在几个问题。首先 , 通信双
方必须有相同的 pad。其次 , 双方的
pad 必须是同步的 , 乙们都需要使用
相同的密码。如果有人忘记掘下一页
或不小心撕下不止一页 , 通信就变得
不可能了。最后 ,pad 的长度必须至
少与信息一样长 , 以防出现任何重
复。
一次一密的一个有趣的应用是二战时
期 SIGSALY 语音加密系统 , 该系统于
1943 年投入使用。它使用存储在留声
机记录上的一次一密来紧急处理和解
密音频。这些都不是便携式设备 , 每
个都有 50 多吨重 !
13.2.6 密钥交换问题

1110 1 1353
13.2 密码学
对称加密系统存在一个问题 , 通信的
两端都需要使用相同的密钥。你可以
把一个一次一密寄给标人 , 或者通过
一个值得信赖的通讯员 , 但你不知道
巳是否在途中被截获并被复制了一
份。如果丢了或损坏了 , 密码也会失
去作用。就像把房子的钥匙寄给朋友
一样 , 无法知道是否有人在这一过程
中又配了一把钥匙。换句话说 , 密码
很容易受到中间人的攻击。
13.2.7 “ 公钥密码
公钥密码解决了我们还今加止讨论过
的许多问题。它使用一对相关的密
钥。已就像一座前门有邮筒的房子。
第一个蝈钥称为公钥 , 可以给任何
1111/ 1353
13.2 密码学
人 , 任何人都可以使用公钥将邮件放
入邮筒中。但是只有你能用第二把钢
匙或称为私钥的钥匙打开前门 , 读到
那封信。
公钢密码体制是一种编码和解码密钢
不同的非对称系统。公钥密码体制解
决了密钥交换问题 , 因为人们是否拥
有公钥井不重要了 , 它不能用于解码
涓息。
公钥密码依赖于陷门函数 , 这种数学
国数在一个方向上很容易计算 , 但在
另一个方向上如果没有一些秘密信息
的话就不容易计算。这个词源于这样
一个事实 : 从活板门上捧下来很容
易 , 不过在没有梯子的情况下爬出来
是很困难的。以下是一个非常简单的
例子 , 假设我们有一个函数 /x 。用 x
1112 / 1353
13.2 密码学
计算 y 相当容易 , 但是通过 x - / 用 y
计算 x 就比较困难了。并不是非常难
因为这是一个简单的例子 , 但你可能
已经发现乘法比求平方根容易。这个
函数在数学上没有计算的捷径 , 但是
你可以考虑使用计算器 , 因为这使得
求解 x 别求解 y 一样容易。
公钥密码的思想是将公钥和私钥通过
苡种复杂的数学函数联系起来 , 以公
钥为陷门 , 私钥为梯子 , 使得消息易
于加密 , 但又难以解密。从较高层次
看 , 这是使得密钥成为一个真正大的
随机数的因子。
非对称加密在计算上很昂贵。因此 ,
它通常只用于秘密地生成用于实际消
息内容的对称会话密钥。一种常见的
方法是使用 Diffhe-HelIman 密钥交
1113 / 1353
13.2 密码学
换 , 它以美国密码学家 Whitneld
Diffhe 和 Martin Hellman 的名字命名。
Difhe 和 Hellman 在 1976 年发表了一篇
关于公钥密码的论文。但直到 1977
年 , 非对称加密才实现 , 尽管陷门出
数的概念相对简单 , 但真正发明出一
个这样的函数却非常困难。1977 年 ,
宿码学家 Ron a1d _Riv e s t 在
Manischewitz 的一次豪饮之后解开了
这个谜 , 这点倒是证明了数学能力与
味蕾无关。Rivest 与以色列密码学家
Adi Shamir 和美国科学家 Leonard
Adleman 一起发明了 RSA 算法 , 其名
称来源于每位发明人姓氏的第一个字
母。不幸的是 , 在爱德华 . 斯诺登揭露
的违反信任行为中 ,RSA _Security 公
司从美国国家安全局那里攫取利益 ,
在默认的随机数生成器中安装了一个
1114 / 1353
13.2 密码学

盗贼后门。这使得国家安全局和任何

知道它的人更容易破解 RSA 编码的信

怡 :

13.2.8 “ 削向加密

在实际通信中使用对称密码会话密钢

存在一个问题 , 如果该密钢被发现 ,

就可以读取所有信息。许多国家的政

府都有记录和储存来往通信的技术能

力。例如 , 如果你是一个人权活动

家 , 那么你的安全取决于你的通信安

全 , 你不想冒着密钥匙被发现和你所

有的密码被解码的风险。

避免发生所有信息都被读取的情况的

方法是使用前向加密 , 这种方法为每

个信息创建一个新的会话密钻。这
1115 / 1353
13.2 密码学
样 , 就算密钥被发现了 , 也只能解码
出单个消息。
13.2.9 加密哈希园数
我们在第 7 章中讨论了哈希团数 , 一
种用于快速搜索的技术。哈希闻数也
应用于密码学中 , 但只有具有树些属
性的函数才适合运用到密码学中。与
常规哈希闻数一样 , 加密哈希囡数将
任意输入映射为固定的数字。用于搜
索的哈希团数将其输入映射到比其密
码同族小得多的输出沱围 , 因为前者
用作内存位置 , 后者仅用作数孙。
加密哈希团数的一个关键特性是巳为
单向函数。这意味着尽管从输入生成
哈希很容易 , 但是从哈希生成输入是
1116 / 1353
13.2 密码学
不实际的。
另一个关键的特性是 , 对输入数据的
做小更改会生成不相关的哈希值。回
到第 7 章 , 我们使用了一个对某个素
数模的字符值求和的哈希出数。使用
这样的团数 , 字符串 b 的哈希值将比
字符串 a 的哈希值大 1。加密的目的很
容易被预测到。表 13-1 显示了三个字
余串 ( 只有一个字母不同 ) 的 SHA-1
( 安全哈希算法 1) 哈希。如你所
见 , 输入和哈希值之间没有明显的关
系。
表 13-1 腌制牛肉哈希码

= 一 Iocoeeoeeioeaooe 一国
加密哈希团数一定很难被欺骝 , 给定

1117/1 1353
13.2 密码学
一个哈希值 , 应该很难得到生成它的
输入。换言之 , 很难产生碰撞。使用
第 7 章中的哈希算法 ( 质数为 13) ,
我们可以得到一个值为 4 的哈希值 ,
作为 Corned Beef 的输入。但是对于
Tofu Jerky Tastes Weird 的输入我们
也会得到相同的哈希值。
长期以来 ,MD5 哈希团数是应用最广
泛的算法。但是在 20 世纪 90 年代未 ,
人们发现了一种产生碰撞的方法 , 你
可以在 7.19 节中看到这一点。不幸的
是 , 该算法的 SHA-0 和 SHA-1 变体是
由 NSA 开发的 , 这使人们觉得人们不
可信。
13.2.10 “ 数字签名

1118 / 1353
13.2 密码学
密码学可以通过数孙签名来验证数据
的真实性 , 乙提供了完整性、不可白
认性和身份验证。
完整性验证意味着我们可以确定消息
是否被更改过。例如 , 成绩单是列有
班级和成绩的纸质卡厂 , 学子们需要
把成绩单交给父母。我记得四年级时
一个成绩不好的同学给成绩单上的
右边加了竖线 , 变成了 4。他的父母
没办法判断成绩信息是否被篡改了。
完整性验证是通过附加数据的加宥哈
希来完成的。但是 , 当然 , 任何人都
可以将哈希值附加到消息中。为了防
止这种情况发生 , 发送方使用其私钢
加密哈希 , 接收方可以使用相应的公
钥对其进行解密。请注意 , 对于签
名 , 公钢和私钥的角色是相反的。
1119 / 1353
13.2 密码学
私钥的使用提供了不可否认性和身份
验证。不可否认性意味着发送方很难
对用其私钥签名的消息否认他们的签
名。身份验证意味着收件人知道谁签
署了消息 , 因为他们的公钥会与签名
者的私钥成对出现。
13.2.11 “ 公钥基础设施
公钥加密存在一个大漏洞。假设你使
用安全 (HTTPS) 连接将 Web 浏览器
与银行账户相连接。银行将其公钥发
到你的浏览器 , 这样你的浏览器就可
以加密你的数据 , 使得银行可以用私
钥进行解密。但是你怎么知道这个公
钥是来自银行 , 而不是来自某个窃听
你通信的第三方 ? 你的浏览器如何验
1120 1 1353
13.2 密码学
证该密钥 ? 如果浏览器不能信任钢
匙 , 它还能相信谁 ?
不幸的是 , 这并没有一个很好的解决
方案 , 但今天使用的是公钥基础设施
(PK|) 。这种基础设施的一部分是
一个可信的第三方 , 称为证书顾发机
构 (CA) , 保证密钥的真实性。从理
论上讲 ,CA 确保一方是他们所说的 ,
并发布一个加密签名的文档 , 称为证
书 , 可以用来验证他们的密钥。这些
证书的格式称为 X.509, 这是由国际
电信联盟 (ITU) 定义的标准。
虹然 PKI 通常是有效的 , 但又回到了
信任问题。CA 曾被黑客入侵过。CA
中的错误导致了它们的私钥被意外发
布 , 使得任何人都有可能签署伪造的
证书 ( 幸运的是 , 有一种机制可以撩
112111353
13.2 密码学

销证书 ) 。一些 CA 被发现是不安全

的 , 因为它们没有对请求证书的各方

进行身份验证。人们可以合理地假

设 , 政府相信他们有权强迫 CA 生成伪

造的证书。

13.2.12 区块链

区块链是密码学的另一个应用。区块

链的思想非常简单 , 但背后有很多复

杂的数学支持。与比特币和其他加密

货币有关的区块链讨论大多讨论的是

区块链的应用 , 而不是它的工作原

理。

你可以把区块链看作一种管理分类账

的机制 , 就像银行账户对账单一样。

账单存在的一个问题是 , 它们很容易
1122 11353
13.2 密码学
被修改 , 甚全通过电子的方式更容易
被修改 , 因为计算机不会留下橡皮擦
过的痕选。
分类账通常由一组记录组成 , 每一条
记录都在随后的几行上。分类账行的
等价区块链是一个区块。区块链将上
一区块 ( 行 ) 的加密哈希和块创建时
间戳添加到下一个区块。这就形成了
一个由哈希和时间戬链接的块链 ( 因
此而得名 ) , 如图 13-4 所示。

图 13-4 “ 简化的区块链
如你所见 , 如果块 p 的内容被修改 ,
将改变它的哈希值 , 使其与块 0+1 中

1123 1 1353
13.2 密码学
存储的内容不匹配。加密哈希的特性
使得块不可能被修改后仍然具有与之
前相同的哈希值。每个块有效包含前
一块的数字签名。
攻击区块链的唯一有效方法是破坏管
理区块链的软件 , 一种缓解方法是将
区块链数据公开井且在多个系统上复
制。攻击这样一个分布式系统需要许
多人合作。
13.2.13 “ 密码管理
密码学的另一个应用是密码管理。在
过去的日子里 , 计算机以明文形式保
存密码文件。当有人登录时 , 他们输
入的密码将与存储在文件中的密码进
行比较。

1124 1 1353
13.2 密码学
以明文形式保存密码不是好方法 , 主
要是因为任何有权访问该文件的人都
可以知道每个人的密码。请记住 , 这
井不一定是计算机受到攻击的结果。
正如你所看到的 , 许多组织将他们的
备份发送给第三方存储 ( 至少有三个
异地备份是一个好主意 , 最好是在不
同的构造板块上 ) 。我们再次回到信
任 , 因为有人可以访问密码文件或这
些备份的任何其他数据。你可以加密
备份 , 但加密备份很脆弱 , 因为小的
存储介质缺陷 ( 例如坏的磁盘驱动器
块 ) 就会使整个备份无法恢复。在保
护数据和恢复数据之间需要权衡。
这个问题的一个简单解决方案是以加
密格式 ( 如加密哈希 ) 存储密码。当
用户登录时 , 他们的密码被转换成加
密哈希 , 然后与文件中的密码进行比
1125 / 1353
13.2 密码学
较。加密哈希的属性使得密码不太可
能被猜到。作为额外的预防措施 , 大
多数系统都会阻止普通用户访问密码
文件。
尽管应用了这些方法 , 密码还是有问
题。在共享计算的早期 , 可能只需要
几个系统的密码。但现在 , 银行账
户、学校网站、许多不同的网店等都
需要无数的密码。许多人在各种系统
使用相同的密码 , 结果发现最常见的
密码是 p a s s w 0 r d , 其次是
password123, 因为密码中需要有数
字。重复使用密码等同于不使用前向
加密 , 如果一个网站或应用的密码安
全受到威胁 , 可能就是有人在其他站
点上使用你的密码。你可以为每个站
点设置不同的密码 , 但是必须得讨住
它们。可以使用一个密码管理器 , 该
1126 11353
13.2 密码学
管理器将所有不同的密码存储在一个
受单个密码保护的位置 , 但如果该密
码或密码管理器本身受到危害 , 其他
所有密码也会受到影响。最有效但仍
存在问题的方法是前面提到的双因素
身份验证。但这通常依赖于手机之类
的东西 , 当你在某个没有手机服务的
地方时 , 它会阻止你访问你的账户。
而且 , 它很麻烦 , 会导致人们在许多
网站一直保持登录状态。

1127/1 1353
13.3 软件卫生
大型项目通常包括第三方代码 , 这些
代码不是由项目团队成员编不的。在
许多情况下 , 你的团队甚至无法访问
源代码 , 你必须接受供应商的说法 ,
即他们的代码可以正常工作并且是安
全的。这可能会导致出现什么问题
吱 ?
首先 , 你怎么知道这些代码是真的能
发挥作用井且是安全的 ? 你怎么知道
有人在写那个代码的时候没有安装秘
密后门 ? 这不是一个假设性的问题。
2015 年 , 人们在一家主要网络供应商
的产品中发现了一个秘密后门。2016
年 , 人们在另一家供应商的产品中发
现了一个带有硬编码密码的额外账
户。名单还在继续增加 , 只要人们持
续容忍这种行为 , 名单就会继续增
加。

1143 / 1353
13.3 软件卫生
Ken Thompson 1984 年图灵奖的演讲
题目为 “ Reflections on Trusting
Trust“*“ , 给出了关于一个恶意行为者
能造成多大破坏的观点。
使用第三方代码会导致另一个更微妙
的问题 , 它在物理基础设施软件中出
现的频率非常高 , 而这些软件正是发
电厂和此类工作的原材料。你可能会
认为像这样的关键软件是由工程师设
计的 , 但这种情况很少见。工程师可
能会指定软件 , 但软件通常是由系
统集成商 “ 建造的。这些人的训练与
你在学习代码 “ 的指导下得到的训练
相似 , 系统集成基本上可以归结为导
入别人编写的代码并将团数调用粘在
一起。产品代码最终如图 13-6 所示。
1144 | 1353
13.3 软件卫生
吴二史
X ˇ
供应商 #1 代码
罡命 5 吴一国 |
人 - 墨口 ’ _
一 P 一
L tB
供应商 #2 _ 供应商 3
一代码 _ | 代码一
一一园一国吴园吊园吴
图 13-6 未使用的供应商代码和产品代码
图 13-6 意味着产品中包含了大量未使
用的代码 , 在图中 , 非产品代码多于
产品代码。我曾经做过一系列关于这
种情况的演讲 , 我把已称为数字疱
疹 , 因为产品的中枢神经系统都感
染了这些代码 , 等待合适的机会爆
1145 / 1353
13.3 软件卫生
发 , 就像人感染了病毒一样。
这使程序员陷入困境。如何决定哪些
第三方代码是可以安全使用的 ? 并非
所有在发电厂工作的人都是密码学或
网络协议方面的专家。
首先 , 这是一个开放源代码具有优势
的领域。你可以看看开源代码 , 其他
人很有可能也在看。这个更多的眼
球原则意味着 , 比起只有少数人看
到的封闭源代码 , 至少有更好的机会
发现 bug 。当然 , 这不是万能药。
2014 年 , 在流行的 OpenSSL 加密库中
发现了一个主要缺陷。好的一面是 ,
这个 bug 的发现让很多人都把代码和
其他安全关键包放在了一起。
另一个好的做法是蝈切关注你在第三
方软件包中实际使用的代码占整个包
1146 1 1353
13.3 软件卫生
大小的比例。我曾经参与过一个医疗
器械项目 , 管理层说 : “ 让我们用这
个很酷的操作系统 , 我们可以花个好
价钱买到它。但是这个操作系统包
含了我们不打算使用的各种功能。我
驳回了这个建议 , 我们只是为我们需
要的东西编写了自己的代码。这是几
十年前的事了 , 只在这个操作系统的
部署中发现了一些 bug。
另一个需要注意的方面是调试代码。
通常在产品开发过程中包含额外的调
试代码 , 确保它在装运前被移除 ! 包
括宥码。如果包含默认宥码或其他快
捷方式使你的代码更易于调试 , 请确
保匕们已消失。
13.3.8 “ 极端聪明是你的敌人
1147/ 1353
13.3 软件卫生
如果你使用的是第三方代码 , 请避免
使用方便但小众的工具。因为供应商
经常停止支持没有被客户广泛使用的
功能。当这种情况发生时 , 你的代码
通常被排除在升级路径之外。供应商
通常只为其产品的最新版本提供修复
程序 , 因此 , 如果代码依赖于不再受
支持的功能 , 则可能无法安装关键的
安全修复程序。
13.3.9 明白什么是可见的
想一想除你的程序以外的程序访问敏
感数据的方式 , 不仅仅是数据 , 还有
元数据。还有谁能看到你的程序数
据 ? 这个问题是定义威胁模式的一个
重要部分。如果有人带着你原本完全
1148 / 1353
13.3 软件卫生
安全的系统潜逃 , 会有什么危害 ? 攻
击者是否可以通过从设备中取出内存
怔片从而直接访问它们来绕过防御 ?
除了使代码安全外 , 你还需要注意旁
道攻击一一基于元数据的利用。例
如 , 假设你有检查密码的代码 , 如果
在接近正确的密码上运行的时间比在
不正确的密码上运行的时间长 , 则会
给攻击者提供线索。这叫作定时攻
击。
指向 ATM 机键盘的摄像头是一种旁道
攻击。
基于电磁辑射的攻击已经被记录在
案。一个很酷的方法叫作屏幕辐射穷
密。这种方法使用一个天线从监视器
接收辐射 , 生成显示图像的远程副
本。事实证昂 , 某些电子投票系统中
1149 1 1353
13.3 软件卫生
的选票保密性会受到屏幕辐射窃密的
破坏。
旁道攻击是非常隐蔽的 , 需要认真的
系统思考来改进 , 仅仁知道如何编与
代码是不够的。这样的例子比比皆
是 , 尤其是在二战时期 , 现代密码学
开始的时期。德国人之所以能够确定
洛斯阿拉莫斯国家实验室的存在 , 是
因为几百份西尔斯记录都被邮寄到同
一个邮箱。并且德国人根据当地报纸
上刊登的工厂足球队比赛的分数确定
了英国化工厂的位置。
一般来说 , 请确保关键安全代码的外
部可见行为独立于它的实际操作。避
免通过旁道泄露信息。
13.3.10 “ 不要过度收集

1150 1 1353
15.1 价值主张
能可能比你第一眼看到的更强大。
破坏发布代码的生态系统并不会增加
价值。许多开发者表现得好像他们是
在另一个国家度假的典型美国人 , 或
是我岳父来我家探望时的那种我是
你家客人 , 按我的方式做事的态
度。
例如 ,UNIX 系统有一个命令 , 用于显
示程序的手册页。你可以输入 man
foo, 它会显示 foo 命令的页面。还有
一个约定 , 真正复杂的命令 , 比如
yacc, 既有程序手册页面 , 也有更
长、更深入的文档 , 详细描述了程序
的细节。当 GNU 项目 ( 稍后我将讨
论 ) 向 UNIX 添加命令时 , 它使用自己
的 texinfo 系统来编不手册 , 这个手册
与 man 系统不兼容。结果是用户必须
12511 1357
15.1 价值主张
同时试着使用 man 和 info 命令来查找
文档。即使像一些人所相信的那样 ,
GNU 方法更优越 , 但是任何可能的好
处都被 UNIX 社区支离破碎的生态系统
造成的巨大生产力损失所抵消了。
还有许多其他示例 , 例如用 systemd
替换 init 系统。正如本章后面讨论的 ,
UNIX 哲学的一个重要部分是模块化设
计 , 但是 systemd 用一个巨大的单体
怪物取代了模块化 init 系统。没有人试
图在现有系统中加装新功能。整个用
广群都失去了生产力 , 因为他们不得
不学习一个新系统 , 而这个系统基本
上就是老系统所做的。如果在现有系
统中添加多线程和其他新功能 , 则会
增加更多价值。
另一个例子是 jar 程序工具包 , 它是
125211357

Backlinks

See Also