MD5為現(xiàn)在應(yīng)用最廣泛的Hash算法之一���,在1992年由MIT 的Ronald L. Riverst提出,由MD4演化而來���。該算法廣泛應(yīng)用于互聯(lián)網(wǎng)網(wǎng)站的用戶數(shù)據(jù)加密����,能夠?qū)⒂脩裘艽a加密為128位的長整數(shù)���。數(shù)據(jù)庫并不明文存儲用戶密碼����,而是在用戶登錄時將輸入密碼字符串進(jìn)行MD5加密�����,與數(shù)據(jù)庫中所存儲的MD5值匹配�����,從而降低密碼數(shù)據(jù)庫被盜取后用戶損失的風(fēng)險�。
但由于Hash碰撞的存在�,MD5加密的數(shù)據(jù)并不安全���,可以由生成相同Hash值的字符串破解����,所以提出了加入隨機(jī)數(shù)salt的MD5加密方法�����,一定程度上增大了字典攻擊的難度��。
問題提出
前一陣在新浪微博上�,有一個人發(fā)布了這樣一條微博:“出道互聯(lián)網(wǎng)安全常識數(shù)學(xué)題……假設(shè)你的網(wǎng)站所有用戶密碼都是md5加密(單向散列����,非可逆)的,假設(shè)你網(wǎng)站有10萬會員����,如果你的用戶庫丟了,會有多少會員密碼被破解?想想看�����。”當(dāng)時我的一位朋友認(rèn)為10萬個密碼全部都會被破解,我卻不這樣認(rèn)為�����,因為根據(jù)我的先驗知識:
(1) MD5加密算法在互聯(lián)網(wǎng)應(yīng)用中廣泛被使用����,MD5不是簡單的古典加密算法,不能通過逆向Decrypt解密�����,只能通過Hash碰撞破解(Hack);
(2) 我曾經(jīng)看過對同一個字符串進(jìn)行MD5加密的結(jié)果���,產(chǎn)生結(jié)果是隨機(jī)的字符串(后來經(jīng)過查找資料發(fā)現(xiàn)我所看到的不是簡單的MD5加密��,而是加鹽后的結(jié)果);
(3) MD5用作密碼加密算法并不是絕對安全的�,因為可能產(chǎn)生Hash碰撞��,簡單密碼的MD5加密可以通過彩虹表查找到;
(4) 我曾見過幾個破解MD5加密的網(wǎng)站(https://www.cmd5.com/)�����,大多數(shù)的做法是先免費為用戶暴力破解���,積累起足夠的數(shù)據(jù)庫可以破解簡單密碼后�����,解密服務(wù)便開始收費����,所以MD5密碼的破解不應(yīng)該那么簡單。
在經(jīng)過對這個問題激烈的討論過后�,沒過多久便發(fā)生了CSDN的數(shù)據(jù)庫泄露事件��,600萬條數(shù)據(jù)庫記錄被任意傳播����。緊接著天涯論壇的數(shù)據(jù)庫也泄露了,2000萬條數(shù)據(jù)庫記錄被證實幾乎均可以登錄���。而這兩個網(wǎng)站的數(shù)據(jù)庫中所保存的用戶密碼都沒有經(jīng)過加密�����,即為明文存儲的�。這種事情的發(fā)生更加證實了對網(wǎng)站數(shù)據(jù)庫中所保存的用戶密碼進(jìn)行加密的重要性�����。
現(xiàn)今流行的對用戶密碼加密算法中,MD5加密是最為廣泛使用的算法之一�����。
背景知識
對于散列函數(shù)h(x)���,必須滿足下列特性[1]:
壓縮:對于給定輸入x�����,輸出長度y=h(x)很小;
效率:對于給定輸入x����,計算y=h(x)很容易;
單向:該散列函數(shù)H是一個單向函數(shù)�����,即對于幾乎所有的x���,已知H(x)的值y求x是不可行的;
弱無碰撞:已知x����,求出x’使得H(x’)==H(x)在計算上是不可行的;
強(qiáng)無碰撞:對于任意x≠x’,H(x’)==H(x)在計算上是不可行的��。
MD5的全稱是Message-Digest Algorithm 5�����,在1991年由MIT 的Ronald L. Riverst提出����,由MD4演化而來,最終生成128位(4個32位的16進(jìn)制數(shù))的信息摘要算法���。[2] MD5算法是一個不可逆的字符串變換算法,即看到源程序和算法描述����,也無法將一個MD5的值變換回原始的字符串。
1993年�����,Den Boer和Bosselaers給出了一個有限的“偽碰撞”結(jié)果;
1996年����,MD5算法的設(shè)計被發(fā)現(xiàn)有缺陷��,雖然當(dāng)時并未被證明該缺陷是致命的���,密碼學(xué)專家建議使用其它加密算法(如SHA-1)。
2004年����,MD5算法被證明不安全,原因是會產(chǎn)生Hash碰撞�。[3]
2007年,研究人員發(fā)現(xiàn)使用Chosen-prefix Collision方法�����,可以使包含惡意代碼的程序產(chǎn)生合法的MD5值��。
2008年�����,研究人員發(fā)現(xiàn)了產(chǎn)生相同MD5 Hash值的兩個可執(zhí)行文件�。
以上實例證明,MD5算法的安全性并不高��,不能應(yīng)用于對安全性要求很高的SSL加密及數(shù)字簽名之中。目前最被推薦的Hash加密算法應(yīng)為SHA-2加密算法����。
MD5算法描述
MD5算法針對不定長的輸入,可以輸出固定128位長度的加密信息���。MD5以512位來分組輸入的信息����,每一分組又被劃分為16個32位子分組���,經(jīng)過算法流程最終生成四個32位數(shù)據(jù)聯(lián)合成為128位的散列����。算法的具體過程如下[4]:
(1) 信息進(jìn)行填充�,使其位長對512求余的結(jié)果等于448。將信息的長度擴(kuò)展至N*512+448����,其中N為一個非負(fù)整數(shù)�,N可以是零。填充的方法為在信息的后面填充一個1和無數(shù)個0���,直到滿足條件�����。
(2) 在這個結(jié)果后面附加一個以64位二進(jìn)制表示的填充前信息長度�。經(jīng)過這兩步的處理,現(xiàn)在的信息的位長=N*512+448+64=(N+1)*512���,即長度恰好是512的整數(shù)倍��。這樣做的原因是為滿足后面處理中對信息長度的要求����。MD5中有四個32位被稱作鏈接變量(Chaining Variable)的整數(shù)參數(shù)����,他們的初始值分別為:A=0×67452301,B=0xefcdab89���,C=0x98badcfe�,D=0×10325476��。
(3) 進(jìn)入算法的四輪主循環(huán)運算����。循環(huán)的次數(shù)是信息中512位信息分組的數(shù)目��。主循環(huán)有四輪�����,每輪循環(huán)都很相似�。第一輪進(jìn)行16次操作����。每次操作對a、b��、c和 d中的其中三個作一次非線性函數(shù)運算����,然后將所得結(jié)果加上第四個變量,文本的一個子分組和一個常數(shù)����。再將所得結(jié)果向左環(huán)移一個不定的數(shù),并加上a�、b�、c 或d中之一。最后用該結(jié)果取代a、b�����、c或d中之一�����。
(4) 經(jīng)過四輪逐位運算完成之后��,將A�����、B����、C、D分別加上a����、b、c�、d。然后用下一分組數(shù)據(jù)繼續(xù)運行算法���,最后的輸出是A�、B、C和D的級聯(lián)��。
存在問題
雖然MD5為單向Hash加密�,是不可逆的,但根據(jù)鴿巢原理�,MD5算法所產(chǎn)生的32位輸出所能夠表示的空間大小為1632,即當(dāng)樣本大于 1632≈3.4 × 1038時就會產(chǎn)生Hash碰撞���。由這一結(jié)論可知���,我們可以生成大量密碼樣本的哈希值,得到密碼和哈希值的一一對應(yīng)關(guān)系���,然后根據(jù)這個對應(yīng)關(guān)系反查就可以得到哈希值所對應(yīng)的密碼��。但在破解密碼的MD5值之前����,我們需要預(yù)先計算出大量數(shù)據(jù)所對應(yīng)的MD5值����。
而在互聯(lián)網(wǎng)應(yīng)用方面�����,如果如文章開始所提出的問題一樣,只是對用戶密碼進(jìn)行簡單MD5加密�����,是有可能通過查表入侵用戶賬戶的(盡管密碼可能不是用戶的原始密碼)�。然而對于強(qiáng)密碼來說,通過暴力窮舉破解MD5值的代價也是相當(dāng)大的����。但根據(jù)統(tǒng)計結(jié)論[5],有相當(dāng)多的用戶會使用弱密碼[6]�����,因此可以根據(jù)統(tǒng)計規(guī)律建立簡單密碼所對應(yīng)的MD5值表�,從而入侵使用簡單密碼的用戶賬戶。
改進(jìn)方法
由于對于密碼學(xué)Hash函數(shù)還需要的特性是具有雪崩效應(yīng)���,或者嚴(yán)格雪崩效應(yīng)�����。其目標(biāo)是對于輸入任何小的改動將使輸出變化很大���。理想情況下改變?nèi)魏屋斎胨玫降妮敵鼋Y(jié)果都不相關(guān)�,那么攻擊者尋找碰撞就必須進(jìn)行窮舉搜索[1]�����。由于MD5算法的這一效應(yīng)�����,我們可以在用戶密碼創(chuàng)建時生成一個隨機(jī)字符串(稱之為Salt�����,在另一個數(shù)據(jù)表或數(shù)據(jù)庫中存儲)與用戶口令連接在一起�,然后再用散列函數(shù)對這個字符串進(jìn)行MD5加密,之后將MD5加密結(jié)果結(jié)果存入數(shù)據(jù)庫中�。如果Salt值的數(shù)目足夠大的話,它實際上就消除了對常用口令采用的字典式攻擊�,因為黑客不可能在數(shù)據(jù)庫中存儲那么多Salt和用戶密碼組合后的 MD5值。當(dāng)然��,如果黑客獲得了數(shù)據(jù)庫的所有信息(包括Salt表)�����,他們?nèi)钥梢詫蝹用戶的密碼進(jìn)行暴力枚舉破解。但將每個密碼后加一隨機(jī)串�,無疑增加了暴力枚舉的難度,且不存在弱口令的問題了�����。更加安全的做法是����,我們可以給每個密碼設(shè)置一個隨機(jī)的Salt值��,這樣即使使用暴力枚舉破解了一個用戶的密碼���,也很難再破解其他用戶的密碼了��。
除了給MD5算法加鹽����,其它的增強(qiáng)用戶密碼安全性的主動措施有使用更加耗時的加密算法����,這樣使破解的時間也大大增加了;或者更換更安全的加密算法如SHA-2算法;還可以像Twitter一樣強(qiáng)制用戶使用復(fù)雜密碼等等���。
結(jié)論
回到文章起始提出的問題,如果我的網(wǎng)站存有10萬MD5密碼的數(shù)據(jù)庫落入了黑客手中�����,根據(jù)最近對CSDN密碼泄露事件的統(tǒng)計規(guī)律:600萬賬號中有 239萬個賬號和其它賬號的密碼相同[5]��,進(jìn)行最樂觀的假設(shè)�,假設(shè)這些賬號使用的都是弱密碼,且我們手中有所有這些弱密碼所對應(yīng)的明文信息��,則約有 40%的密碼將被破解�����。對于文章起始處提出的問題來說��,就是約4萬名用戶的密碼將被破解�。而進(jìn)行較保守的假設(shè),以CSDN事件中排名前10的弱密碼為例��,共有748350人使用了排名前10的弱密碼�����,比例為0.1%,假設(shè)真實使用排名前1000的弱密碼的人數(shù)為100*0.1%=10%����,且我們手中有 80%的弱密碼所對應(yīng)的明文信息,則對于文章起始處提出的問題來說��,就是約8千名用戶的密碼將被破解�。由此可見,只對用戶密碼進(jìn)行簡單的MD5加密并不能保證全部用戶的密碼安全�,大約會有8000~40000名用戶的密碼將被查表破解��。
