以下文章来源于Coder梁 ,作者梁唐,笔记来自公众号:Coder梁
今天我们继续麻省理工missing smester,这一节课的内容关于信息安全和密码学。
B站视频链接:https://www.bilibili.com/video/BV1x7411H7wa?p=9
和之前一样,点击「阅读原文」跳转英文原文。
密码学和信息安全在如今的互联网行业当中非常重要,相关的理论知识和算法也在计算机系统的方方面面都被用到。虽然我们不一定会从事安全相关的工作,但对密码学以及信息安全的基本知识和概念有所了解还是很有必要的。
日拱一卒,欢迎大家打卡一起学习。
这节课上我们会关注安全和密码学相关的概念,这些概念和之前介绍的一些工具也有关联。比如git当中用到的hash函数或者是SSH当中密钥生成函数或者是对称/非对称密码体系。
本节课不能作为计算机系统安全以及密码学的替代。没有从事训练,不要轻易从事安全相关的工作,也不要修改或创造加密相关算法。
这节课是对基础密码学概念的一个非正式的介绍。这节课上我们不会教你如何设计安全系统或者是加密协议,但我们希望能够让你对频繁使用的程序以及协议有一个总体上的了解。
熵
熵用来衡量混乱程度,这是一个非常有用的概念,在很多领域当中都有广泛应用。比如当我们决定密码强度的时候。
上图是关于密码强度的漫画,漫画当中说"correcthorsebatterystaple"比"Tr0ub4dor&3"这样的密码更加安全,但是它是怎么定义安全程度的呢?
在计算机领域当中,熵的计算单位是bit,当均匀地从一系列值当中随机选择时,它的熵等于log_2(可能性总数)。抛一枚均匀的硬币的熵是1 bit,一个六面骰子的熵大约是2.58 bit。
你可以认为黑客们知道密码的模型(最短长度、最长长度、包含的字符种类等),但不知道密码是如何被随机选择的(比如通过骰子)。
多少bit的熵才足够呢?这取决于你的威胁模型。对于在线穷举的猜测,漫画告诉我们大约40bit的熵就足够了。而对于离线的枚举,一般需要更强的密码(比如80bit或更多)。
