关于Hash安全性的一些错误看法

最新推荐文章于 2023-07-19 13:00:01 发布
最新推荐文章于 2023-07-19 13:00:01 发布
阅读量2.5k 收藏
点赞数 1
文章标签: 破解 byte dictionary 算法 加密 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/congzijie/article/details/3008902
版权

网络上流传着很多关于提升Hash加密安全性的方法,其中有一些鄙人不敢苟同,特别拿出来讨论一下。

 

1. 多轮Hash提高安全性

  这么做唯一的用途是将逐次生成-比对破解法的时间成本提高n倍(n为Hash的轮数)。之所以产生这种看法我想是因为很多人认为对于n轮Hash,要破解Hash n首先要破解Hash n-1,要破解Hash n-1,首先要破解Hash n-2……为什么呢?我想不明白,我们可以直接对于要猜解的明文进行n轮Hash,比对最后的结果就可以了:

  1. //从字典中获取一个要破解的明文
  2. Hash = dictionary[x];
  3. //进行n轮Hash
  4. for (int i=0; i<N; i++)
  5.    Hash = MD5(Hash);
  6. if (Hash == HashToCrack)
  7.    ...

 

2.变形Hash(如16Byte, 20Byte的MD5)

  这是一个常识问题,如果16Byte的哈希值可以与32Byte的哈希值有相同的安全性,那么密码学家为什么要浪费你16Byte的空间呢?提出这种看法的人我想主要是因为他们认为可以保证算法的保密性,这犯了密码学中的一个常识错误:密码到安全性应该基于密钥(这里是明文)而非算法的保密性,想一下,破解密码和拿到你源代码(尤其是Web程序)哪个更难?

  这么做只会带来两个结果:

  •  帮助攻击者缩减空间成本
  • 增加碰撞概率(换句话说就是被破解的概率)

3. 加盐(Salt)就一定安全吗?

  加盐确实很安全,几乎也是对抗彩虹表这类高效时空兑换破解法的唯一有效手段。但是这很大程度取决于Salt的强度,因为攻击者可以把明文和Salt分开破解:假设攻击者可以得到Hash结果,那么他可以设置自己的密码,然后通过枚举Salt的值来破解Salt在先,之后再在用常规手段,如彩虹表破解明文:

  1. Passwd = "Congzijie";
  2. Hash = "533dd712f5046e76779fe021e3cbf35a";
  4. for(int i=0; i<len_of_dict; i++) {
  5.    if (MD5(Passwd + Salt_dict[i]) == Hash)
  6.         printf("Salt found : %s", Salt_dict[i]);
  7. }
congzijie
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HASH安全性研究
08-30
### HASH安全性研究 #### 一、HASH函数简介与应用场景 随着信息技术的发展,尤其是互联网时代的到来,网络安全成为了至关重要的研究领域。在这个背景下,HASH函数作为一种关键的技术手段,被广泛应用于保障数据...
基于混沌的Hash函数的安全性分析
05-03
针对基于耦合映像格子的并行 Hash 函数算法和带密钥的基于动态查找表的串行 Hash 函数算法进行了安全性分析。对于前者,发现耦合映像格子系统导致算法中存在一种结构缺陷, 在分组序号和分组消息满足特定约束关系的...
【Ubuntu】更新系统时出现Hash校验和不符的错误(已解决)
weixin_33831673的博客
03-23 1218
在使用 sudo apt-get update &amp;&amp; sudo apt-get upgrade 命令更新系统时出现类似这样的错误信息: W: 无法下载 bzip2:/var/lib/apt/lists/partial/mirrors.ustc.edu.cn_ubuntu_dists_quantal-updates_main_binary-i386_Packages Hash ...
Hash加密算法总结
javasimawanyi的博客
07-10 7241
Hash加密算法是一种快速、不可逆和安全的算法,被广泛应用于数字签名、数据完整性验证等信息安全领域。常见的Hash算法包括MD5和SHA算法Hash算法的应用场景包括数据完整性验证和数字签名等。
解决了常见不可hash的报错;实现Point类对象 hash化,给出如何将类对象添加集合或字典
最新发布
sjxgghg的博客
07-19 353
实现坐标Point类,并为其重载了加法,实现了Point可hash,将Point类与元组(tuple)进行判等。
iperf环境搭建后运行报错CANNOT LINK EXECUTABLE: empty/missing DT_HASH in“iperf“ (built with --hash-style=gnu?)
一只立志于养老婆的程序猿
12-06 2592
如图,环境搭建参考iperf测试recovery模式下WiFi吞吐量,iperf运行后报错误CANNOT LINK EXECUTABLE: empty/missing DT_HASH in"iperf" (built with --hash-style=gnu?),如下图 错误意思为,无法连接可执行文件:空/缺少DT_Hash错误错误出现原因为,Android 4.4 与 Android 9.0 的iperf文件不同,使用9.0的iperf在Android 4.4上运行会报如下错误 ...
哈希算法原理与应用:确保数据完整性和安全性的关键技术
qq_28245087的博客
05-09 3069
哈希算法是一种将任意长度的消息映射为固定长度哈希值的算法。哈希算法的应用广泛,包括数据完整性验证、数字签名、数据库索引和分布式存储等方面。在实际使用中,需要选择具有较低哈希冲突概率和安全性的哈希算法,并注意对哈希函数进行适当的加盐处理以提高安全性
rzyfileuploadclient_HASH签名安全校验_
10-02
在这个具体的例子中,"rzyfileuploadclient"可能是一个文件上传客户端,它采用了这种HASH签名机制来确保上传文件的安全性。通过这种方式,即使在网络不安全的情况下,也能有效防止中间人攻击,保护用户的文件不被...
C++实现一致性hash算法
01-03
一致性hash应用于负载均衡算法,本实现由C++语言开发。 一致性hash算法提出了在动态变化的Cache环境中,判定哈希算法好坏的四个定义: 1、平衡性(Balance)2、单调性(Monotonicity) 3、分散性(Spread)4、负载(Load)
PHP中散列密码的安全性分析
10-16
虽然`password_hash`和`password_verify`组合提供了高安全性的密码处理,但它们也可能带来性能上的挑战,尤其是当需要从外部存储(如Redis)获取盐值时。这可能会导致额外的查询操作,牺牲一定的性能来换取更高的...
【项目小知识】Java中的MD5加密——底层由哈希算法来实现
weixin_52777510的博客
02-18 737
我是灼灼,一只初学Java的大一金渐层。 向往余秀华和狄兰·托马斯的疯狂,时常沉溺于将情感以诗相寄;追逐过王尔德、王小波的文字,后陷于毛姆和斯蒂芬·金不可自拔;热爱文学的浪潮,白日梦到底却总在现实里清醒;艳羡平静又极度渴盼奔跑的力量。 欢迎与我交流鸭· QQ:1517526827; 个人博客:https://blog.csdn.net/weixin_52777510?spm=1001.2101.3001.5343 哈希算法 MD5加密的底层是由哈希算法来实现的 内容来自廖雪峰官方Java教程 哈.
hash安全性
u013085496的博客
01-18 492
在区块链中,我们面临着两个问题: 隐私问题 快速对账问题 由于区块链中,每个人都存在着一个账本,当一个人有收入的时候,将会进行广播到所有人的账本,例如张三收入xxx钱,这样子所有的账本才能同步更新。但这种情况面临的问题是,我们并不想让别人知道我们收入了多少,这就是隐私问题。 既然有广播,每个人的账本都能收到广播消息,当账本越来越多,消息越来越多,账本如何快速更新对账,同样...
apt报错Hash 校验和不符解决办法
jianjian的博客
11-24 5450
1、桌面空白处右键选择【在这里打开终端】 2、sudo apt update 更新软件列表时,提示”Hash 校验和不符“,如下图所示。 3、su 解决方法,首先切换到root用户。 4、mkdir /etc/gcrypt 建立gcrypt目录。 5、echo all >>/etc/gcrypt/hwf.deny 输入all到所有hwf.deny文件。 6、apt update update第一次失败则多尝试update两次就可以了。 正常更新软件包列表了。 ...
Hash函数的安全性
weixin_34049032的博客
05-26 1400
我们为了保证消息的完整性,引进了散列函数,那么散列函数会对安全正造成什么影响呢?这是需要好好研究一番的问题。 三个概念: 1.如果y<>x,且h(x)=h(y),则称为碰撞。 2.对于给定的x,要找到一个y满足y<>x,h(x)=h(y),在计算上不可行,称为弱无碰撞。 3.要找到任意一对数,x,y,y<>x,满足h(x)=h(y),在计算上不可行...
数据完整性验证-MD5哈希算法安全性
xianghaifeng的专栏
04-09 9215
最近文件完整性校验由MD5变成了sha256, 对于选择sha256这个hash算法的原因从网上找了一些资料。一句话概括:sha256更加安全一些。http://bobao.360.cn/learning/detail/564.htmlMD5哈希算法使用比较广泛,很多年前就一直传着MD5不安全。现实中,可供我们选择的哈希算法有很多,具体选择哪一种,主要考虑下列几个方面:*加速:算法在读取整个文件后...
用户密码加密存储十问十答,一文说透密码安全存储
weixin_34310369的博客
05-28 578
我们数据库的权限管理十分严格,敏感信息开发工程师都看不到,密码明文存储不行吗? 不行。存储在数据库的数据面临很多威胁,有应用程序层面、数据库层面的、操作系统层面的、机房层面的、员工层面的,想做到百分百不被黑客窃取,非常困难。 如果密码是加密之后再存储,那么即便被拖库,黑客也难以获取用户的明文密码。可以说,密码加密存储是用户账户系统的底裤,它的重要性,相当于你独自出远门时缝在内衣里钱,虽然你用到...
加密算法之安全hash算法、RSA非对称加密算法分析
踩踩踩从踩的博客
08-29 4338
前言 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,使其只能在输入相应的密钥之后才能显示出原容,本篇会介绍各种加密算法加密介绍 第一类(SHA算法):根据明文签名进行加密得到密文,而密文不能被反推出来,而这种在银行用得很多,例如下图 SHA hash独有得算法算法可以有多种,根据每个人来算出来 第二类(DES AES):明文得到密文,通过密文;然后服务端得到密文进行反推出来,一把钥匙 第三类(RSA):叫做RSA算法加密,公钥..
Hash函数在计算机网络安全的重要性
06-11
Hash函数在计算机网络安全中具有非常重要的作用,主要表现在以下几个方面: 1. 数据完整性验证:Hash函数可以将任意长度的数据映射成固定长度的哈希值,且不同的数据产生的哈希值是不同的。因此,可以通过比较数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值