月光博客 » 编程开发 » 为什么应该放弃或减少使用MD5

为什么应该放弃或减少使用MD5

  MD5即Message-Digest Algorithm 5(信息-摘要算法 5),是网络上广泛使用的散列(Hash)算法之一,可以实现将任意长度的数值映射为固定长度的较小数值。

  MD5是一种常用的单向Hash算法。它被广泛用于以下几个用途:

  1、检查数据是否一致。将两地存储的数据进行哈希,比较结果,如果结果一致就无需再进行数据比对。这是利用了其“抵抗冲突”(collision- resistant)的能力,两个不同的数据,其哈希值只有很小的几率一致。相当多数据服务,尤其是网盘服务,利用类似的做法来检测重复数据,避免重复上传。

  2、存储用户密码。将密码哈希后的结果存储在数据库中,以做密码匹配。这是利用了其做为单向哈希的特点,从计算后的哈希值不能得到密码。

  3、校验数据正确性。将数据和数据哈希后的结果一并传输,用于检验传输过程中数据是否有损坏。这是利用了很难找到两个不同的数据,其哈希结果一致的特点。

  下面我们将说明为什么对于上面三种用途, MD5都不适用。

  第一个用途尤其可怕。这个用途的最大的问题是,MD5在现实中已经被发现有相当多的数据都可能导致冲突。举例而言,如下两段数据的MD5哈希值就是完全一样的。

    数据 1 

    4d c9 68 ff 0e e3 5c 20 95 72 d4 77 7b 72 15 87
    d3 6f a7 b2 1b dc 56 b7 4a 3d c0 78 3e 7b 95 18
    af bf a2 00 a8 28 4b f3 6e 8e 4b 55 b3 5f 42 75
    93 d8 49 67 6d a0 d1 55 5d 83 60 fb 5f 07 fe a2

    数据 2

    4d c9 68 ff 0e e3 5c 20 95 72 d4 77 7b 72 15 87
    d3 6f a7 b2 1b dc 56 b7 4a 3d c0 78 3e 7b 95 18
    af bf a2 02 a8 28 4b f3 6e 8e 4b 55 b3 5f 42 75
    93 d8 49 67 6d a0 d1 d5 5d 83 60 fb 5f 07 fe a2

    输出相同的MD5 哈希

    008ee33a9d58b51cfeb425b0959121c9

  这意味着,如果用户提供数据 1,服务器已经存储数据 2。通过简单的MD5哈希方式检查重复,服务器上为用户保存的数据就是2。 接下来发生的事情大家都知道了,就是用户数据丢了!

  第二个用途很容易遭到rainbow table攻击,和明文存储密码的实质区别不大。更详细的分析可以察看这篇文章

  第三个用途里一般会在需要哈希的数据中混入某些秘密,也就是计算公式为md5(secret key + data)。 但这样并不适合用于验证数据的完整性。这是因为,从理论上上来说,如果知道md5(secret key +X),即使不知道secret key的内容, 仍然可能通过对X的分析,计算得到md5(secret key +Y),从而将X成功的替换成Y,导致接收方仍然认为数据是正确的。

  来源:坚果云投稿,坚果云是一款类似Dropbox的云存储服务。原文链接

为什么应该放弃或减少使用MD5

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    EdiTurn   说道:
    这片文章就像是在说“因为吃饭有噎死的危险,所以应该放弃或减少吃饭”。
    单方面的列出一种事物的缺点,然后呼吁放弃使用毫无意义。相比之下更需要说明的是有什么比之优秀,并能够克服或者一定程度上缓解上述缺点的替代方案。
    支持(71反对(7回复
  1. 2
    金马   说道:
    批评一下月光博客,在转别人的博客的时候,是不是可以把原博客的一些格式加一下?我看这个原博客上两段数据的MD5哈希值使用了粗字体明确了展现出来不同之处,而你转别人博客的时候,是不是也应该关注一下? 而不是让我们读者费力去找。
    支持(30反对(11回复
  1. 3
    magicd   说道:
    在劝导别人放弃这类使用的同时,是不是应该发表一下该用什么来替代,sha1? des? 纯粹吐槽缺点是毫无意义的,说的缺点都是众所周知,毫无新意。
    支持(28反对(10回复
  1. 4
    没看见   说道:
    乍一看很有道理,实际跟没说一样。
    支持(17反对(7回复
  1. 5
    nobush   说道:
    第三條應不成為理由,因為數據傳輸都是用戶局部行為不可能出現離奇的低概率錯誤機會。
    支持(9反对(2回复

发表留言


点击更换验证码