使用 RSA 进行哈希

Question

我正在考虑使用 RSA 加密算法创建一个哈希函数（如 md5 或 sha1）。我想知道是否有任何明显的原因导致该算法不起作用：

1. 生成 RSA 公钥/私钥。
2. 丢弃私钥，根本不存储它。
3. 从长度为 RSA 加密的块大小的散列开始。
4. 使用公钥加密消息，一次一个块。
5. 对于消息的每个加密块，使用指定的算法（可能是 +、xor 等的组合）将其累积到哈希值。

要验证消息与存储的哈希值具有相同的哈希值，请使用保存的公钥并重复过程。

这可能、安全且实用吗？

感谢您的任何评论。

Answer 1

RSA 加密不是确定性的：如果您遵循 RSA 标准，您将看到注入了一些随机字节。因此，如果使用 RSA 对同一消息加密两次，很可能不会得到两次相同的输出。

此外，您的“未指定的第 5 步”可能很弱。例如，如果您定义一种散列块的方法，然后将块异或在一起，则 A||B 和 B||A （对于块大小值A和B）将散列为相同的值；这就是碰撞富矿。

在学术上，已经尝试过从数论结构（即不是原始 RSA，而是重用相同类型的数学元素）构建哈希函数；有关详细信息，请参阅 Lars Knudsen 的演示文稿。同样，ECOH 哈希函数 已提交给 SHA-3 竞赛，使用椭圆曲线它的核心（但它已“损坏”）。潜在的希望是散列函数安全性可以以某种方式与潜在的数论难题联系起来，从而提供可证明的安全性。然而，实际上，这样的哈希函数要么很慢，要么很弱，或者两者兼而有之。

Answer 2

已经有一些散列基本上可以做到这一点，但可能不是特别针对 RSA 算法。它们被称为加密哈希，其突出点是它们在加密上是安全的 - 这意味着它们也具有与公钥加密函数相同的强度和面向安全的思想。

唯一的区别是，它们是从头开始设计为哈希的，因此它们也满足哈希函数的个性化要求，这可以被认为是密码函数不需要的额外优点。

此外，两者之间存在一些完全不一致的因素，例如，您希望散列函数在不影响安全性的情况下尽可能快，而缓慢通常被视为加密函数的一个特征，因为它大大限制了暴力攻击。

SHA-512 是一个很棒的加密哈希，可能值得您关注。 Whirlpool、Tiger 和 RipeMD 也是不错的选择。这些都不会出错。

还有一件事：如果您确实希望它变慢，那么您肯定不想要哈希函数，并且这样做完全是错误的。如果，正如我假设的那样，您想要的是一个非常非常安全的哈希函数，那么就像我说的那样，有许多选项比您的示例更适合，同时在加密上同样安全甚至更加安全。

顺便说一句，我并不完全相信你的混合算法没有弱点。虽然每个 RSA 块的输出旨在已经与高雪崩等保持一致，但我仍然担心这可能会给所选明文或类似消息的比较分析带来问题。

Answer 3

通常，最好使用公开且经过审查流程的算法。尽管此类算法可能存在已知的弱点，但这可能比本土算法中的未知弱点要好。请注意，我并不是说所提出的算法有缺陷；而是说该算法有缺陷。只是，即使这里给出了大量的答案，说看起来不错，但并不能保证它不好。当然，对于MD5、SHA等算法也可以这样说。但至少对于这些算法，大量的人已经对它们进行了严格的分析。

除了之前针对设计自己的加密函数的“样板”警告之外，似乎所提出的解决方案在处理时间方面可能会有些昂贵。对大型文档进行 RSA 加密可能会令人望而却步。

Answer 4

无需考虑太多，它似乎在加密上是安全的。

但是，您必须小心选择的明文攻击，如果您的输入很大，您可能会遇到速度问题（因为非对称加密比加密哈希慢得多）。

所以，简而言之：是的，这似乎是可能且安全的……但除非有真正令人信服的理由，否则如果您想要密钥哈希，我会使用标准 HMAC。

Answer 5

如上所述，步骤4.)是确定性的，即仅使用模数和公钥指数。
如果步骤 3.) 中的哈希值是私有的，那么这个概念对我来说似乎是安全的。

关于步骤5.)：在已知的内核算法的CBC模式中，在加密之前完成与先前结果的混合，步骤4.)，可能更好地避免串通，例如使用惰性散列；异或就可以了。

将应用这一点，因为已知哈希函数的可用实现可能有后门:)

确定性 Java RSA 是 这里。

编辑
另外值得一提的是，RSA 的可扩展性没有任何限制。这样的散列函数可以立即用作掩码生成函数。