长度扩展攻击是一种针对Merkle–Damgård散列函数的攻击手段,包括MD5。攻击者在知道密文和盐的长度但不直接知道盐的情况下,能计算出H(salt+data+append)的值。MD5算法中,数据先按512位填充,然后通过四个链接变量进行迭代计算。了解这种攻击对于数据安全至关重要。
长度扩展攻击
一、 简介
长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的 加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象:
① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024比特)的倍数;
② 按照该固定长度,将明文分块加密,并用前一个块的加密结果,作为下一块加密的初始向量。
满足上述要求的散列函数称为Merkle–Damgård散列函数(Merkle–Damgård hash function),下列散列函数都属于Merkle–Damgård散列函数:
MD4
MD5(本题要用到)
RIPEMD-160
SHA-0
SHA-1
SHA-256
SHA-512
WHIRLPOOL
对于H(salt+data)形式的加密,在以下条件满足的情况下,攻击者可以通过该方法获取H(salt+一定规则构造的data):
① 知道密文的加密算法且该算法满足Merkle–Damgård散列函数特征;
② 不知道salt,但知道salt的长度,并可控制data的值;
③ 可以得到一个H(salt+data)的值。
二、攻击方法详解
下面以MD5算法为例,讲述该攻击方式如何进行攻击。
MD5的算法步骤:
步骤1:
我们是对一个字符串进行MD5加密,所以我们先从字符串的处理开始。首先我们要知道一个字符的长度是8位(bit),即一个字节的长度。现在我们要做的就是将一个字符串Str1分割成每512位为一个分组,形如N*512+R,最后多出来的不足512位的R部分先填充一个1,再接无数个0,直到补足512位。这里要注意,R为0时也要补位,这时候补512位,最高位1,形如1000…00;如果R超出448,除了要补满这个分组外,还要再补上一个512位的分组(因为超过448位则不能留64位出来存放字符串的原长)。
字符串分块保存:一个512位的字符串分组要分成16个32位的子分组,在每个32位中,以字节为单位通过小端规则存入一个32位的变量中,可以考虑用int类型的变量(一个int变量32位),也可以考虑用unsigned int,这样之后涉及的循环移位就不用考虑符号位了,这里还是以int为例。因为一个字符就是一个字节(8位),所以一个int类型变量能存放4个字符,假设一个字符串abcd,那么存在一个int类型变量中就是dcba。因此这里我们将字符串每4个字符分成一块,每一个块都以小端规则存放在一个int类型的变量中。
补充好后的Str2长度为(N+1)*512位(如果R超出448,则是(N+2)512),此时最低的64位预留,用来存放之前str1的长度length(长度为字符个数8 bit)的值,如果这个length值的二进制位数大于64位,则只保留最低的64位。将这个64位的length放入之前填充好的str2的最后64位。又要注意了:将length的64位分成2个32位,相当于2个字(1个字32位),再将这个2个字用类似小端规则排列,分别填入预留的64位。假设64位分成AB(A,B分别表示32位的二进制数,A是高位,B是低位),按小端规则排列后就是BA,将形如BA的64位按B(高位)到A(低位)的顺序填入str2预留的64位,而对A,B内部显示的每个字节则不用做处理。假设长度 0x12,则按A,B两个字来补位可以得:A=0x0000 0000,B=0x0000 0012。
假设一个字符串abcde,一共5个字符,长度length 为 5* 8 = 40 = 0x28。512位转化成十六进制就是64位。原字符串十六进制表示:61 62 63 64 65 00 00…00。完成补位后共512位,只有1个分组,形如: 61 62 63 64 65 80 00… 00(“80”的二进制是1000 0000,即之前的先补一个1,再补很多0的做法)。一个int M[16]的数组就够存了,即
M[0] = 64 63 62 61,
M[1] = 00 00 80 65,
M[2] = 0,
M[3] = 0
…
M[14] = 00 00 00 28,
M[15] = 0
M[0]~M[15]设好之后,在内存中就是这样存的61 62 63 64 65 80 00…00(注意这里我们用MD5处理字符串时都考虑内存中的数据的排列顺序,得出的MD5也是需要按内存中的数据输出,所以经常要用小端规则转换)
步骤2
MD5有四个32位的被称作链接变量的整数参数,我们进行如下设置:
A=0x67452301,
B=0xefcdab89,
C=0x98badcfe,
D=0x10325476。
数据这样设置之后,存在内存中就按小端规则排列:01 23 45 67 89 ab cd ef …32 10
再声明四个中间变量a,b,c,d,赋值:a = A, b = B, c = C, d = D。
接着再设置四个非线性函数:
F(X,Y,Z) =(X&Y)|((~X)&Z)
G(X,Y,Z) =(X&Z)|(Y&(~Z))
H(X,Y,Z) =XYZ
I(X,Y,Z)=Y^(X|(~Z))
(&是与,|是或,~是非,^是异或)
这四个函数的说明:如果X、Y和Z的对应位是独立和均匀的,那么结果的每一位也应是独立和均匀的。
假设M[j]表示消息的第j个子分组(从0到15),<<<s表示循环左移s,常数ti是4294967296*abs(sin(i))的整数部分,i取值从1到64,单位是弧度。(4294967296等于2的32次方)
FF(a, b, c, d, M[j], s, ti)表示 a = b + ((a + F(b, c, d) + Mj + ti) <<< s)
GG(a, b, c, d, M[j], s, ti)表示 a = b + ((a + G(b, c, d) + Mj + ti) <<< s)
HH(a, b, c, d, M[j], s, ti)表示 a = b + ((a + H(b, c, d) + Mj + ti) <<< s)
II(a, b, c, d, M[j], s, ti)表示 a = b + ((a + I(b, c, d) + Mj + ti) <<< s)
步骤3
接下来就是要进行一个MD5算法的主要循环了,这个循环的循环次数为512位分组的个数(即之前提到的N+1或者N+2)。
a = A; b = B; c = C; d = D;
//传说中的对M[j]的第一轮循环
FF(a,b,c,d,M[0],7,0xd76aa478);
FF(d,a,b,c,M[1],12,0xe8c7b756);
FF(c,d,a,b,M[2],17,0x242070db);
FF(b,c,d,a,M[3],22,0xc1bdceee);
FF(a,b,c,d,M[4],7,0xf57c0faf);
FF(d,a,b,c,M[5],12,0x4787c62a);
FF(c,d,a,b,M[6],17,0xa8304613
最低0.47元/天 解锁文章
扫一扫
789
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
