javascript - 单字符签名方案(最低安全性)

Question

注意:我最初将其发布到 Information Security ，但我开始认为它在这里可能更相关，因为它实际上是关于确定我应该如何处理请求而不是保护信息。

情况

系统A:

我有一个向用户提供请求的系统 A。该服务器执行某些操作，然后将用户重定向到系统 B 。在该重定向期间，服务器 A 可以为用户提供一个 32 个字符的字母数字字符串以传递给系统 B 。需要该信息的 31 个字符，但可以将一个字符用作校验和。这个字符串或多或少可以被认为是一个请求 ID。

系统B:

当系统 B 收到用户的请求时，它可以通过解析 31 个字符的字符串、查询数据库并与系统 A 对话来验证请求(和类似 ID 的字符串)是否有效。该系统可以绝对肯定地验证请求是有效的并且没有被篡改，但它的计算量非常大。

攻击者:

这个系统很可能会看到许多欺骗 ID 的尝试。这会被后来的检查过滤，所以我不担心单个字符完美地签署了 ID，但是我确实希望避免在处理这些请求时花费更多的资源。

我需要什么

我正在寻找一种校验和/签名方案，它可以通过单个字符让我很好地了解请求是否应继续进行验证过程，或者是否应立即将其视为无效而丢弃。如果一条消息被丢弃，我需要 100% 确定它是无效的，但如果我保留无效的消息也没关系。我相信一个理想的解决方案意味着保留 1/62 的无效请求(攻击者必须猜测校验字符)，但作为一个最小的解决方案，丢弃所有无效请求的一半就足够了。

我的尝试

我已经研究过使用 Luhn 算法(与用于信用卡的算法相同)，但我希望能够使用 key 来生成字符，以使攻击者更难以欺骗校验和。

作为创建签名方案的第一次尝试，我使用 31 字节 key 对 31 字节 id 进行按位异或运算，将结果字节相加，转换为十进制并将数字相加，直到小于 62，然后将其映射到集合 [a-bA-Z0-9] 中的一个字符(下面的伪代码)。问题是，虽然我很确定这不会丢弃任何有效请求，但我不确定如何确定这会多久让无效 ID 通过，或者是否可以使用最终值检索 key 。

Set alphabet to (byte[]) "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890";
Set keystring to "aLaklj14sdLK87kxcvalskj7asfrq01";

Create empty byte[] key;
FOR each letter in keystring
  Push (index of letter in alphabet) to key;

Create empty byte[] step1;

FOR each (r, k) in (request, key)
  Push r XOR s to step1;

Set step2 to 0;
FOR each b in step1
  Add (int) b to step2;

WHILE step2 > 62
  Copy step2 to step3;
  Set step2 to 0;
  Convert step3 to String;
  Split step3 between characters;
  FOR each digit in step3
    Add (int) digit to step2;
END WHILE

RETURN alphabet[step2]

正式声明

一个确定性哈希函数，给定一个私钥和一个 31 字节长的输入，在集合 {x | x ∈ ℕ, x < 62} 中产生一个输出，其中猜测输出比计算私钥更有效。 (可变长度输入的加分)

这最终将在 NodeJS/JavaScript 中实现，但并不真正依赖于语言。

---

免责声明:如果这个问题过于模糊和理论化，我深表歉意。如果需要，请发表评论以进行澄清。显然，我可以通过多种方式解决这个问题，但在这种情况下，我正在寻找尽可能直接的解决方案。

Answer 1

如果您想要一个带有私钥的“确定性哈希函数”，那么我相信您可以使用 sha256(或您的加密库中的任何其他哈希函数)并将 key 附加到输入:

sha256(input+key).toString('hex');

然后，取哈希值的最后几位，将其从十六进制字符串转换为整数，将整数除以62，得到余数，根据余数确定字符。

这不会为每个字符提供完美的 1/62 分布概率(十六进制字符串应该对每个值具有均匀分布，但除以 62 后的余数不应该具有均匀分布)，但应该非常接近。