java - 如果我散列 IV 值，是否有任何安全改进？

Question

我每次在进行 AES/CBC 加密时都会随机生成 IV 值。

private static IvParameterSpec getRandomIvParameterSpec() {
    byte[] iv = new byte[16];
    new SecureRandom().nextBytes(iv);
    return new IvParameterSpec(iv);
}

每次加密时，我都会将 IV 值连接到密码字节。

如果我在连接到密码字节之前散列 (SHA-256) IV 值，是否有任何安全改进？

Answer 1

SHA-256 是单射。你给它同样的输入，它会给你同样的输出。然而，它不是满射。如果 m₁ 和 m₂ 都散列到 h，你不能得出结论m₁ = m₂，即使你知道 |m_>1| = |m₂| (两条消息的长度相同)。

因此，应用 SHA-256(或任何确定性函数)不能增加数据的熵。充其量，它不会减少它。换句话说:如果您的数据是 16 个纯随机字节，那么在您对它进行哈希处理后，它不会“超过纯随机”。而且，如果您的数据一开始就不是纯随机的，那么对其进行哈希处理也无助于使其随机化。首先，您必须使用更好的熵源。

您没有提到的另一个问题是您目前有 16 个随机字节，但如果您将它们放入 SHA-256 哈希函数中，您将得到 32 个字节。您要使用哪些？如果你只使用每个第二个字节——由于单射性——你不会得到所有可能的位模式，即使你的输入是完全随机的并且哈希函数是完美的。 (如果你这样做了，那么这将 - 根据 pidgin hole 原则 - 意味着另一半字节将始终是你选择的字节的函数。只有一个非常糟糕的哈希函数，SHA-256 当然不是，就会有这样的属性。)如果你试图变得聪明，并以某种“聪明”的方式组合字节，你很可能会让事情变得更糟。

所以简短的回答是:不要这样做。使用可用的最强非确定性熵源生成所需数量的随机字节，并直接使用它们。