密码学基础

一、引言

从你解锁手机的那一刻起，到深夜浏览网页、完成一笔跨境支付，现代数字生活无时无刻不在依赖密码学。它不是魔法，而是一套严谨的数学协议，用以实现三大核心目标：保密性（Confidentiality）、完整性（Integrity）和身份认证（Authentication）。支撑这一切的，是三类基础算法——加密算法、摘要算法与密码哈希函数。然而，真正的安全远不止选择"正确"的算法。在现实世界中，它们还要面对侧信道攻击的窥探、性能与安全的永恒权衡、以及软硬件实现的巨大差异。

更令人警醒的是：即使系统设计完美，用户的密码本身可能早已"死亡"。全球已有超150亿条账户凭证在暗网流通。如何知道你的密码是否已被攻破？这正是像Have I Been Pwned（https://haveibeenpwned.com/）这样的公益服务存在的意义——它将理论安全与现实威胁连接起来，让每个人都能主动防御。

二、概念

2.1 加密算法（Encryption）

技术本质：可逆的数学变换，通过密钥实现明文与密文的双向转换。其核心目标是机密性保护，确保数据在传输或存储过程中不被非授权方读取。

典型代表：

• 对称加密：AES（Advanced Encryption Standard）、ChaCha20，加解密使用相同密钥，速度快，适合大数据量加密
• 非对称加密：RSA、ECC（椭圆曲线加密），公钥加密私钥解密，适合密钥交换、数字签名

关键特性：

• 可逆性：有密钥即可还原原文，这是与哈希的本质区别
• 密钥管理复杂：对称加密需安全分发密钥，非对称加密计算开销大
• 算法公开：现代密码学遵循"算法公开，密钥保密"原则
• 模式选择重要：ECB、CBC、GCM等不同加密模式安全性差异显著

典型场景：磁盘加密（BitLocker）、HTTPS通信、数据库字段加密

2.2 摘要算法（Cryptographic Hash Function）

技术本质：单向散列函数，将任意长度输入映射为固定长度输出。其核心目标是数据完整性校验，而非机密性保护。

典型代表：

• MD5（128位，已不推荐）、SHA-1（160位，已不推荐）
• SHA-256、SHA-512（SHA-2家族，当前主流）
• SHA-3（Keccak算法，新一代标准）
• BLAKE2、BLAKE3（高性能替代方案）

关键特性：

• 不可逆性：无法从哈希值还原原文（理论上存在碰撞攻击可能）
• 确定性：相同输入永远产生相同输出
• 雪崩效应：输入微小变化导致输出巨大差异（至少50%位变化）
• 抗碰撞性：难以找到两个不同输入产生相同输出（MD5已被攻破）
• 固定长度输出：无论输入多长，输出长度固定

典型场景：软件包校验、Git提交ID、区块链交易哈希、数字签名预处理

2.3 密码哈希函数（Password Hashing Function）

技术本质：专门为密码存储设计的慢速哈希函数，在普通摘要算法基础上增加多重安全机制，核心目标是对抗暴力破解。

典型代表：

• bcrypt（工作因子可调，成熟稳定）
• scrypt（内存密集型设计，抗GPU/ASIC攻击）
• Argon2（密码哈希竞赛冠军，内存-时间权衡灵活）
• PBKDF2（基于HMAC的密钥派生函数，NIST推荐）

关键安全机制：

• 加盐（Salt）：每个密码生成随机盐值（通常16字节以上），相同密码哈希值不同，彻底防彩虹表攻击
• 慢速计算：通过工作因子（cost factor）增加计算时间，验证单个密码需0.1-1秒，攻击者尝试100万次需数天
• 内存密集型：消耗大量内存，限制GPU/ASIC并行计算效率，提高硬件攻击成本
• 抗侧信道攻击：设计上抵抗时序分析、缓存攻击等
• 自适应参数：工作因子可根据硬件性能动态调整

唯一正确用途：用户登录系统的密码存储

三、密码技术部署

3.1 网络与应用层

TLS 1.3协议栈：

• 加密层：AES-GCM（对称加密+认证）
• 密钥交换：ECDHE（椭圆曲线密钥交换）
• 完整性校验：SHA-256（伪随机函数）
• 数字签名：RSA或ECDSA

身份认证体系：

• OAuth 2.0：HMAC-SHA256签名令牌，用于API访问控制
• WebAuthn/FIDO2：基于ECC的公钥认证，逐步替代传统密码
• JWT（JSON Web Token）：使用HS256或RS256算法签名

3.2 操作系统与数据库

数据保护机制：

• 全盘加密：Linux dm-crypt（AES）、Windows BitLocker，保护磁盘数据
• 数据库透明加密（TDE）：AES-256加密数据库文件，应用层无感知
• 文件系统加密：macOS FileVault、Android文件加密

完整性保障：

• 日志文件定期计算哈希（如BLAKE3）并归档
• 系统镜像签名验证（使用RSA/ECDSA）
• 软件包分发校验（SHA-256摘要）

3.3 硬件安全基础设施

硬件安全模块（HSM）：

• 专用加密设备，物理隔离密钥
• 提供密钥生成、存储、轮换、销毁全生命周期管理
• 满足FIPS 140-2/3、Common Criteria等合规认证
• 典型应用：支付终端、数字证书颁发、金融交易

可信执行环境（TEE）：

• Intel SGX：在CPU内创建隔离安全区（enclave），代码和数据受保护
• ARM TrustZone：通过硬件隔离创建安全世界
• Apple Secure Enclave：iPhone/Touch ID的硬件安全芯片
• 优势：密钥永不离开安全区，抗内存dump攻击

四、当前瓶颈

即使算法本身无懈可击，实现层面仍危机四伏。事实上，最大的安全短板往往不在算法，而在人的习惯。根据HIBP统计，最常被泄露的密码如123456、password、qwerty等，至今仍在数百万账户中使用。这凸显了一个残酷现实：再强的Argon2也救不了一个被复用且早已公开的密码。因此，开发者不仅要正确实现密码哈希，更要引导用户使用唯一、高强度的密码——而HIBP正是连接这一认知鸿沟的桥梁。

4.1 侧信道攻击（Side-Channel Attacks）——从"旁路"窥探秘密

攻击者不破解算法，而是通过物理泄露信息推断密钥：

主要攻击类型：

• 时序攻击：不同输入导致加密耗时不同（如RSA的平方-乘算法）
• 功耗分析：CPU执行不同指令时电流波动（常用于智能卡破解）
• 缓存攻击：通过共享缓存访问模式推测密钥（如Spectre变种）
• 电磁/声学泄露：高灵敏度设备捕捉设备运行时的物理信号

防御手段：

• 恒定时间编程：确保操作耗时不依赖密钥，避免条件分支
• 掩码技术：将敏感值拆分为随机分享，攻击者需恢复所有分享
• 硬件隔离：使用HSM或TEE隔离密钥操作，物理隔离侧信道
• 随机化：添加随机延迟、随机内存访问，增加攻击难度

4.2 性能与安全的永恒权衡

关键洞察：没有绝对安全，只有"足够安全"。安全强度应与资产价值匹配。对于普通网站登录，Argon2工作因子12可能足够；对于加密货币钱包，可能需要工作因子15以上。

4.3 软件加密 vs 硬件加密：谁更可靠？

最佳实践：混合架构

• 敏感密钥由硬件保护：根密钥、主密钥存储在TPM或HSM中
• 大数据量加密由软件处理：使用AES-NI、SHA扩展等CPU指令加速
• 密钥分层：硬件保护的主密钥派生会话密钥，会话密钥用于数据加密

五、未来趋势

随着"无密码认证"（如Passkeys）的普及，传统密码或将逐步退出历史舞台。但在过渡期，密码仍是主流身份凭证。

5.1 后量子密码学（PQC）迫在眉睫

背景：量子计算机威胁现有非对称加密算法（RSA、ECC），Shor算法可在多项式时间内破解

标准化进展：

• NIST PQC竞赛：已标准化首批算法
• CRYSTALS-Kyber：密钥封装机制（KEM）
• CRYSTALS-Dilithium：数字签名算法
• Falcon、SPHINCS+：其他候选算法

迁移挑战：

• 性能开销：后量子算法比传统算法慢10-100倍
• 密钥/签名体积：公钥和签名长度显著增加（从KB级到MB级）
• 兼容性问题：现有协议、硬件、软件需要适配

过渡方案：

• 混合模式：ECDH + Kyber双重密钥交换，逐步过渡
• 分层部署：敏感系统优先迁移，普通系统逐步跟进
• 硬件加速：开发专用芯片或指令集优化性能

5.2 密码即服务（Cryptography as a Service）

云原生趋势：

• 云KMS：AWS KMS、Azure Key Vault、Google Cloud KMS提供托管密钥管理
• 云HSM：云厂商提供硬件安全模块即服务
• 自动轮换：密钥生命周期自动化管理，减少人为错误
• 按需付费：弹性伸缩，降低中小企业成本

开发者收益：

• 无需管理密钥存储、备份、轮换
• 合规性由云厂商负责（如FIPS 140-2认证）
• 集成简单，通过API调用即可

5.3 零信任架构下的密码演进

核心原则："永不信任，始终验证"

技术演进：

• 无密码认证：Passkeys（WebAuthn标准）、FIDO2认证器
• 短期凭证：微服务间通信使用短期令牌，有效期短
• 每服务独立密钥：服务网格（Service Mesh）中每个服务使用独立密钥
• 动态策略：基于上下文（设备、位置、行为）动态调整认证强度

身份管理变革：

• 从"密码+二次验证"转向"生物特征+硬件密钥"
• 多因素认证（MFA）成为默认配置
• 风险自适应认证：根据风险评分动态要求额外验证

5.4 AI与密码攻防新战场

AI赋能安全：

• 密码策略生成：AI分析用户行为，推荐个性化强密码
• 异常检测：机器学习识别异常登录行为、暴力破解尝试
• 威胁情报：AI分析海量泄露数据，预测攻击趋势
• 自动化响应：AI驱动的安全编排与自动化响应（SOAR）

AI带来的威胁：

• 对抗性攻击：AI尝试破解侧信道防御、时序分析
• 密码猜测优化：AI优化暴力破解策略，提高成功率
• 深度伪造：AI生成虚假身份、伪造生物特征
• 自动化攻击：AI驱动的僵尸网络、DDoS攻击

攻防平衡：

• 需要"AI vs AI"的对抗性防御
• 持续更新防御算法，对抗AI进化
• 加强人类监督，避免完全依赖自动化

六、结语

加密、摘要与密码哈希函数，构成了数字信任的三角基石。但真正的安全，从来不是简单地"调用一个API"。它要求我们理解算法背后的假设，警惕实现中的陷阱，权衡性能与防护的边界，并持续应对新型威胁——无论是来自量子计算机，还是来自电源线上的微小波动。

未来，随着计算范式从中心化走向边缘、从静态走向动态，密码学将从"后台组件"升级为"架构核心"。而每一位开发者、架构师、安全工程师，都应具备这样的意识：

最强的算法，也抵不过一次内存dump；

最慢的哈希，也胜过一次侥幸的明文存储。

安全，始于对基础的敬畏，成于对细节的执着。

给技术从业者的实践建议

对于开发者：

• 密码存储：优先选择Argon2或bcrypt，工作因子根据硬件性能调整（bcrypt≥12）
• 数据传输：使用TLS 1.3+，禁用弱密码套件，定期更新证书
• 密钥管理：使用HSM或云KMS，避免硬编码，实现密钥轮换
• 泄露检查：集成HIBP API，在用户注册时检查密码是否已泄露
• 代码审计：使用自动化工具（如SAST）扫描密码使用漏洞

对于架构师：

• 设计原则：遵循"最小权限""纵深防御"原则
• 技术选型：建立密码技术选型规范，明确禁用算法清单
• 性能考量：评估密码操作对系统性能的影响，必要时引入缓存或异步处理
• 合规设计：提前考虑GDPR、等保等合规要求

对于企业决策者：

• 安全文化：建立全员安全意识，定期安全培训
• 流程规范：建立安全开发流程（SDL），将密码安全纳入代码审查
• 投资预算：预留密码改造、安全审计、合规测评预算
• 应急响应：建立安全事件应急响应机制，定期演练