作者简介
David Wong是O(1)实验室的一位高级密码工程师,他致力于Mina“加密货币”的研发。在此之前,他曾在Facebook Novi工作,担任Diem(正式名称为Libra)“加密货币”研发团队的安全顾问。在Facebook工作前,他还在NCC集团的加密服务机构做过安全顾问。 David在他的职业生涯中多次参与开源审计工作,比如审计OpenSSL库和Let s Encrypt项目。他曾在多个会议(如“Black Hat”和“DEF CON”)上做过报告,并在“Black Hat”会议上讲授密码学课程。他为TLS 1.3协议和Noise协议框架的发展做出了贡献。此外,他还发现了许多库存在的漏洞,例如?Go?语言标准库中的CVE-2016-3959漏洞,TLS库中的CVE-2018-12404、CVE-2018-19608、CVE-2018-16868、CVE-2018-16869和CVE-2018-16870漏洞。 David还是Disco协议和基于智能合约的去中心化应用程序安全项目的开发者之一。他的研究内容包括对RSA的缓存攻击、基于QUIC的协议、对ECDSA的时序攻击或针对DH算法的后门攻击等领域的安全技术。
目录
第 一部分 密码原语:密码学的重要组成部分
第 1章 引言 3
1.1 密码学使协议安全 3
1.2 对称密码:对称加密概述 4
1.3 Kerckhoff原则:只有密钥保密 6
1.4 非对称加密:两个密钥优于一个密钥 8
1.4.1 密钥交换 9
1.4.2 非对称加密 11
1.4.3 数字签名:与手写签名作用一样 13
1.5 密码算法分类和抽象化 15
1.6 理论密码学vs.实用密码学 16
1.7 从理论到实践:选择独特冒险 17
1.8 警示之言 21
1.9 本章小结 21
第 2章 哈希函数 22
2.1 什么是哈希函数 22
2.2 哈希函数的安全属性 24
2.3 哈希函数的安全性考量 26
2.4 哈希函数的实际应用 28
2.4.1 承诺 28
2.4.2 子资源完整性 28
2.4.3 比特流 29
2.4.4 洋葱路由 29
2.5 标准化的哈希函数 29
2.5.1 SHA-2哈希函数 30
2.5.2 SHA-3哈希函数 33
2.5.3 SHAKE和cSHAKE:两个可扩展输出的函数 37
2.5.4 使用元组哈希避免模糊哈希 38
2.6 口令哈希 39
2.7 本章小结 41
第3章 消息认证码 42
3.1 无状态cookie—— 一个引入MAC的范例 42
3.2 一个代码示例 45
3.3 MAC的安全属性 46
3.3.1 伪造认证标签 46
3.3.2 认证标签的长度 47
3.3.3 重放攻击 48
3.3.4 在固定时间内验证认证标签 49
3.4 现实世界中的MAC 49
3.4.1 消息认证码 49
3.4.2 密钥派生 50
3.4.3 cookie的完整性 51
3.4.4 哈希表 51
3.5 实际应用中的消息认证码 51
3.5.1 HMAC—— 一个基于哈希函数的消息认证码算法 52
3.5.2 KMAC—— 基于cSHAKE的消息认证码算法 53
3.6 SHA-2和长度扩展攻击 53
3.7 本章小结 56
第4章 认证加密 57
4.1 密码的定义 57
4.2 高级加密标准 59
4.2.1 AES算法的安全级别 59
4.2.2 AES算法的接口 60
4.2.3 AES内部构造 61
4.3 加密企鹅图片和CBC操作模式 62
4.4 选用具有认证机制的AES-CBC-HMAC算法 65
4.5 认证加密算法的一体式构造 66
4.5.1 有附加数据的认证加密 67
4.5.2 AEAD型算法AES-GCM 68
4.5.3 ChaCha20-Poly1305算法 72
4.6 其他类型的对称加密 76
4.6.1 密钥包装 76
4.6.2 抗Nonce误用的认证加密算法 77
4.6.3 磁盘加密 77
4.6.4 数据库加密 77
4.7 本章小结 78
第5章 密钥交换 79
5.1 密钥交换的定义 79
5.2 Diffie-Hellman(DH)密钥交换 82
5.2.1 群论 82
5.2.2 离散对数问题:DH算法的基础 86
5.2.3 DH密钥交换标准 87
5.3 基于椭圆曲线的DH密钥交换算法 88
5.3.1 椭圆曲线的定义 88
5.3.2 ECDH密钥交换算法的实现 91
5.3.3 ECDH算法的标准 93
5.4 小子群攻击以及其他安全注意事项 94
5.5 本章小结 96
第6章 非对称加密和混合加密 97
6.1 非对称加密简介 97
6.2 实践中的非对称加密和混合加密 99
6.2.1 密钥交换和密钥封装 99
6.2.2 混合加密 101
6.3 RSA非对称加密的优缺点 104
6.3.1 教科书式RSA算法 104
6.3.2 切勿使用PKCS#1 v1.5标准中的RSA算法 108
6.3.3 非对称加密RSA-OAEP 109
6.4 混合加密ECIES 112
6.5 本章小结 114
第7章 数字签名与零知识证明 115
7.1 数字签名的定义 115
7.1.1 现实应用中计算和验证签名的方法 117
7.1.2 数字签名应用案例:认证密钥交换 117
7.1.3 数字签名的实际用法:公钥基础设施 118
7.2 零知识证明:数字签名的起源 119
7.2.1 Schnorr身份识别协议:一种交互式零知识证明 120
7.2.2 数字签名作为非交互式零知识证明 123
7.3 签名算法的标准 123
7.3.1 RSA PKCS#1 v1.5:一个有漏洞的标准 124
7.3.2 RSA-PSS:更优的标准 127
7.3.3 椭圆曲线数字签名算法 128
7.3.4 Edwards曲线数字签名算法 130
7.4 签名方案特殊性质 133
7.4.1 对签名的替换攻击 133
7.4.2 签名的可延展性 134
7.5 本章小结 134
第8章 随机性和秘密性 136
8.1 随机性的定义 136
8.2 伪随机数发生器 138
8.3 获取随机性的方法 141
8.4 生成随机数和安全性考虑 143
8.5 公开的随机性 145
8.6 用HKDF算法派生密钥 146
8.7 管理密钥和秘密信息 150
8.8 分布式门限密码技术 151
8.9 本章小结 154
第二部分 协议:密码学的核心作用
第9章 安全传输 157
9.1 SSL和TLS协议 157
9.1.1 从SSL到TLS的转化 158
9.1.2 TLS的实际应用 158
9.2 TLS协议的工作原理 160
9.2.1 TLS协议的握手阶段 161
9.2.2 TLS 1.3中加密应用程序数据的方法 172
9.3 Web加密技术发展现状 172
9.4 其他安全传输协议 174
9.5 Noise协议框架:TLS新的替代方案 175
9.5.1 Noise协议框架中不同的握手模式 175
9.5.2 Noise协议的握手过程 176
以下为对购买帮助不大的评价