哈希长度延展攻击

已于 2024-08-15 18:24:41 修改
阅读量62 收藏
点赞数 2
分类专栏: 密码学 文章标签: 密码学
于 2024-08-14 17:46:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chirrupy_hamal/article/details/141196501
版权

一、长度延展攻击

我们先来看看什么是长度延展,这样有利于你理解长度延展攻击

假设我们现在有两段数据 S 和 M,以及一个单向散列函数 h,我们把这两段数据合并起来,再计算合并后的散列值,这就是单向散列函数的长度延展

于是,问题来了,是 S 放在前面再计算 h(SM),还是 M 放在前面再计算 h(MS)?既然,我们说散列值是无法预测的,那么,数据的先后排列顺序还有意义吗?

如果 S 和 M 都是公开信息,顺序并不重要,可如果 S 是机密信息,M 是公开信息,那么,这两段数据的先后排列顺序就至关重要了,因为如果机密信息在前,就会有“长度延展攻击”的风险

弄清楚了长度延展,长度延展攻击就很好理解了,我们可以利用已知数据的散列值,计算原数据外加一段延展数据后的散列值,也就是说,如果我们知道了 h(SM),我们就可以计算 h(SMN),其中,N 就是在原数据基础上追加的延展数据

如果 S 和 M 都是公开信息,即便计算出延展数据的散列值也没什么要紧的,但是,如果 S 是机密数据,比如说,因为没有人知道我拥有的机密数据 S,所以,当我给定一段公开信息 M 后,只有我自己才能计算 SM 的散列值,通过验证 SM 的散列值,我就知道一个给定的散列值是我计算、派发出去的,还是别人伪造的

比如下面的这段数据:

key_id=44fefa051fc1c61f5e76f27e620f51d5&perms=read&hash_sig=38d39516d896f879d403bd327a932d9e

其中,key_id 表示机密数据的编号,perms 表示操作权限,hash_sig 是使用机密数据 key 对 perms 的签名,签名的计算使用的是单向散列函数,即 hash_sig = h(key|perms)

由于使用了机密数据 key,按照设想,这段数据只能由机密数据的持有者(请求者)生成,然后派发出去,供授权的人使用,机密数据的持有者(授权响应者)接收到这样的数据后,重新计算数据签名,然后对比请求数据里的签名,如果两个签名相同,表示这是一个合法的请求,就可以授予请求的权限

不过,这个设计有“长度延展攻击”的风险,攻击者并不需要知道机密数据,就可以通过一个已知的 URL,构造出一个新的合法的 URL,从而获得不同的授权,伪造的数据看起来像下面的样子:

key_id=44fefa051fc1c61f5e76f27e620f51d5&perms=read\0x80\0x00...\0x02&delete&hash_sig=a8e6b9704f1da6ae779ad481c4c165a3

在这段伪造的数据中,0x80 到 0x02 之间的数据是数据块补齐数据,并且新添加了删除权限,而且重新计算、替换了数据签名

其中,数据签名需要使用机密数据,而攻击者并不知道机密数据,那么攻击者如何伪造数据签名呢?要解决这个疑问,我们需要先看看单向散列函数的构造,一个典型的单向散列函数,应该由四个部分组成:数据分组、链接模式、压缩函数和终结函数

二、如何有效避免长度延展攻击

三、示例

#include <stdio.h>
#include <openssl/md5.h>

int main(int argc, const char *argv[])
{
  MD5_CTX c;
  unsigned char buffer[MD5_DIGEST_LENGTH];
  MD5_CTX c2;
  unsigned char buffer2[MD5_DIGEST_LENGTH];
  MD5_CTX c3;
  unsigned char buffer3[MD5_DIGEST_LENGTH];
  int i;

  MD5_Init(&c);
  MD5_Update(&c, "secret", 6);
  MD5_Update(&c, "data", 4);
  printf("A: %08x\n", c.A);
  printf("B: %08x\n", c.B);
  printf("C: %08x\n", c.C);
  printf("D: %08x\n", c.D);
  MD5_Final(buffer, &c);
  for (i = 0; i < MD5_DIGEST_LENGTH; i++)
    printf("%02x", buffer[i]);
  printf("\n");
  printf("A: %08x\n", c.A);
  printf("B: %08x\n", c.B);
  printf("C: %08x\n", c.C);
  printf("D: %08x\n", c.D);

  MD5_Init(&c2);
  MD5_Update(&c2, "secret", 6);
  MD5_Update(&c2, "data"
    "\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
    "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
    "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
    "\x00\x00\x00\x00"
    "\x50\x00\x00\x00\x00\x00\x00\x00"
    "append", 64);
  MD5_Final(buffer2, &c2);
  for (i = 0; i < MD5_DIGEST_LENGTH; i++)
    printf("%02x", buffer2[i]);
  printf("\n");

  MD5_Init(&c3);
  MD5_Update(&c3, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA", 64);
  c3.A = htonl(0x6036708e); /* <-- This is the hash we already had */
  c3.B = htonl(0xba0d11f6);
  c3.C = htonl(0xef52ad44);
  c3.D = htonl(0xe8b74d5b);
  MD5_Update(&c3, "append", 6); /* This is the appended data. */
  MD5_Final(buffer3, &c3);
  for (i = 0; i < MD5_DIGEST_LENGTH; i++)
    printf("%02x", buffer3[i]);
  printf("\n");

  return 0;
}
chirrupy_hamal
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MD5哈希长度延展攻击(选做)
xs_1234的博客
04-12 574
20211119陈俊积。
哈希长度拓展攻击 (hash length extension attacks) 示例与原理
bylfsj的博客
10-30 958
哈希长度拓展攻击 hash length extension attacks示例与原理     哈希长度拓展攻击: 指针对某些允许包含额外信息的加密散列函数的攻击手段。次攻击适用于MD5和SHA-1等基于Merkle–Damgård构造的算法   介绍目录: 哈希与加密的区别 常...
哈希(Hash)长度扩展攻击
Yale的博客
03-22 8884
先来看一下md5算法的实现框图 以实现字符串abcde的md5的值的计算为例 切换到win 在winhex中打开并输入如下内容 2.对消息进行补位,使得位长mod512得值为448,即len(message) % 512 == 448(单位为bit)。补位的方式为二进制情况下数据后面加上1,然后多个0,直到满足上述等式,事实上10000000(B)=80(hex),所以体现在winhex中,...
hash长度扩展攻击原理
weixin_61785633的博客
12-05 342
做题时遇到了相关的题,找了几篇文章,现在应该是把原理搞懂了,在此记录一下。对于md4,md5,ripemd-160,sha-0,sha-1,sha-256,sha-512等都能实现hash长度扩展攻击,我在这儿只讲下md5的hash长度扩展攻击。我们先来了解一下md5加密的原理。当服务器进行sha1运算前,会先判断字符串的长度,并将整段字符串分割称64bytes一组。之后再进行hash生成。ps: 64bytes == 512bits 1bytes == 8bits而当hash函数拿到需要被hash的字符串
借用一道CTF题浅析哈希长度扩展攻击
蚁景网安学院
09-29 474
点击关注了解更多精彩内容!!所谓的Hash,翻译过来呢,也就是“散列”,这里就简单的将其替换为音译“哈希”。对于不同的哈希算法,其总会有一个共同的特点“对于输入的数据,不管其长度,经过哈...
05|如何有效避免长度延展攻击
qq_37756660的博客
10-17 111
我们先来看看什么是“长度延展”,这样会有利于你理解“长度延展攻击”。现在,假设我们有两段数据,S 和 M,以及一个单向散列函数 h。如果我们要把这两段数据合并起来,并且还要计算合并后的散列值,这就叫做单向散列函数的长度延展。不过,问题来了,是 S 放在前面(h(S|M)),还是 M 放在前面(h(M|S))?既然,我们说,散列值是无法预测的,那么,数据编排的顺序有意义吗?如果 S 和 M 都是公开的信息,顺序是不重要的。可如果 S 是机密信息,M 是公开信息,这两段数据的排列顺序就至关重要了。
密码学系列之:Merkle–Damgård结构和长度延展攻击
程序那些事
07-23 4039
Merkle–Damgård结构简称为MD结构,主要用在hash算法中抵御碰撞攻击。这个结构是一些优秀的hash算法,比如MD5,SHA-1和SHA-2的基础。今天给大家讲解一下这个MD结构和对他进行的长度延展攻击
实验吧ctf-web-让我进去(Hash长度扩展攻击)
烟敛寒林的博客
04-22 2306
解题链接:http://ctf5.shiyanbar.com/web/kzhan.php 抓包: 尝试修改sourece值为1时,源码出现,如图: $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for secur...
哈希算法
weixin_42579622的博客
12-24 458
为什么我们要使用哈希算法? ​ 假如你是某软件公司的研发人员,经过一段时间的奋战,终于开发完成了,现在只需要将项目打成jar包,然后发给客户就可以了,但是现在太晚了,你想今天先回家休息,明天再给客户发过去。 ​ 第二天,你正准备将jar相关文件发送给客户,但也许你会有这样的疑问:这个jar文件是我昨晚打的那个jar文件吗? ​ 为什么你会有这样的想法?因为你昨天下班以后,有可能有人黑进你的电脑,将文件更改了,然后重新生成了jar?也可能有人座在你的电脑旁边,将文件也进
哈希碰撞与生日攻击
02-21
### 哈希碰撞与生日攻击 #### 一、哈希碰撞是什么? 哈希(Hash)是一种算法,用于将任意长度的数据映射为固定长度的值。这些值通常称为哈希值或摘要。哈希算法的一个重要特性是,对于任何给定的输入,其输出始终...
PHP内核探索:哈希表碰撞攻击原理
12-19
哈希表碰撞攻击是针对利用哈希表数据结构特性的一种安全威胁,主要针对那些使用了易发生碰撞的哈希算法的程序。哈希表在PHP内核中扮演着至关重要的角色,不仅用作Array数据类型的表示,还用于存储Zend虚拟机的执行上...
haxibiao.rar_MOD_哈希表 平均查找长度
09-14
//使用哈希函数:H(k)=3*k MOD length,并采用开放定址法处理冲突。试对输入的关键字序列构造哈希表,哈希长度为length, //求等概率情况下查找成功的平均查找长度,并设计构造哈希表的完整的算法。
密码哈希函数 Bcrypt的最大密码长度限制详解
08-31
Bcrypt 的盐 Salt 也可以防御彩虹表攻击,彩虹表攻击是一种攻击手法,攻击者通过预先计算大量的哈希值,并将其存储在一个表中,以便快速地查找密码的哈希值。使用盐 Salt 可以防御这种攻击,因为攻击者无法预先计算...
密码学知识点02
2302_77186925的博客
08-11 817
密码学知识点02.对称加密
英语写作中“严格的”“启发式的”rigorous、heuristic的用法
michel_2010的博客
08-08 173
In modern cryptography, security analysis is heuristic, while formal security proof is rigorous.(在现代密码学中,安全性分析是启发式的,而形式化安全性证明是严格的。英语科技论文写作中,与“严格”rigorous 对应的是“启发式的”heuristic,例如rigorous/heuristic analysis (proof )(严格的/启发式的)分析(证明)。
密码学】利用用频率分析破译替换密码
Yuppie001的博客
08-11 606
现在已经基本破译完成了,那我们加快脚步,dEauTihut为形容词,联系后文,大概率为beautiful,the say was ptEau明显不对,联系上文THE sun was sHining,这里应该是 the sky was clear。观察发现e单独出现,能单独出现在短文中的一个字母只有i和a,且这里位于句中,所以e对应a,但由于我们之前将c替换为了e,所以c不对应 e,c一定对应a,阳光明媚,天空晴朗。剩下的就显而易见了r对应p,g对应z,r对应p,o对应x,x对应j,i对应q。
Constraint System
chengbin20101的博客
08-13 429
约束系统(Constraint System)在零知识证明(ZKP)中扮演着至关重要的角色,用于表示和验证某个陈述或计算过程是否满足特定的条件。约束系统是一种数学框架,用于将复杂的计算或陈述转化为一系列必须满足的约束条件。这些约束条件通常与线性代数、多项式等数学概念紧密相连,使得验证过程可以在不泄露具体输入信息的情况下进行。一、约束系统的基本概念。
电路构建、转换为约束系统、多项式承诺以及验证过程;为什么需要这几个步骤;;
最新发布
ZJQ的博客
08-14 251
虽然在这个简单的例子中,我们并没有直接使用多项式来表示整个等式,但为了与KZG承诺的上下文保持一致,我们可以将等式转换为多项式形式。算术电路、约束系统、多项式承诺在零知识证明和密码学领域中扮演着重要角色,它们共同构成了一种高效且安全的方式来证明某个命题的真实性,同时不泄露除命题真实性以外的任何信息。在实际应用中,算术电路、约束系统和多项式承诺的实现通常是相互关联的。综上所述,算术电路、约束系统和多项式承诺在零知识证明和密码学领域中具有重要的作用和意义,它们共同构成了一种高效、安全且隐私保护的证明机制。
哈希长度m怎么确定
09-17
哈希长度m的确定需要考虑以下几个因素: 1. 数据规模:哈希表用于存储一定量的数据,因此m的大小应该能够覆盖数据的数量。如果数据量较大,那么m的取值也应该较大,以保证哈希表分布均匀,避免冲突发生的概率过高。 2. 存储空间:哈希表的长度m决定了底层数组的大小,直接影响存储空间的大小。如果m取值过小,可能导致大量的哈希冲突,浪费存储空间;反之,如果m取值过大,可能会造成存储空间的浪费。因此,需要根据实际的存储需求和空间限制,选择适当的m值。 3. 哈希函数的设计:哈希函数的设计能够辅助决定哈希长度m的大小。一个良好的哈希函数应该能够将数据均匀地映射到哈希表中,减少哈希冲突的发生。在确定哈希函数的设计时,可以考虑数据类型、数据分布等因素,进而决定哈希长度m。 4. 时间复杂度和性能:哈希表的长度m直接关系到哈希表的性能。较小的m值可能会导致哈希冲突频繁发生,从而影响哈希表的性能;较大的m值可能会导致查找、插入、删除的操作时间复杂度增加。因此,需要在时间复杂度和性能之间做一定的平衡,选择适当的m值。 综上所述,哈希长度m的确定需要综合考虑数据规模、存储空间、哈希函数设计以及时间复杂度和性能等因素。在实际应用中,可以通过实验和测试,不断调整m的大小,以达到最佳的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值