远程认证:何时使用校验和，何时使用加密哈希函数？

Question

在计算机安全应用程序中，为了检查特定数据/程序二进制文件的完整性，通常会部署一个加密散列函数来生成摘要，并将其与引用摘要进行比较。

当远程设备向验证方证明平台上的代码和数据的完整性时，称为远程认证。

查看不同的远程认证方案，我注意到其中一些方案使用内存内容的校验和来生成认证值。相反，其他人则建议使用加密哈希函数。

我个人认为，当需要完整性时，密码散列函数就是goto函数，特别是当系统安全性达到目标时。

基于软件的认证方案旨在向验证方证明驻留在平台上的代码和数据的完整性。

最常见的基于软件的远程认证方案的一个例子是斯瓦特，它在pseud随机遍历中对内存内容进行校验。

是什么使校验和的使用比密码函数更常见于这样的安全机制？

Answer 1

校验和主要用于在传输过程中识别数据损坏，有许多模式比校验和(例如ARQ )更好。哈希函数在计算上比较昂贵，因此只在传输过程中证明错误时，就不那么理想了。然而，当你实际上是在考虑安全问题时(例如。验证数据完整性)哈希函数适合于该作业。

总的来说，应该使用校验和(或一些类似方法)的组合来处理传输错误，而当存在安全性问题时则应该使用散列。