邹逸说到这,还补充了两点,某些软件下载站点的某软件信息中经常可以看到其MD5值,它的作用就在于我们可以在下载该软件后,对下载回来的文件用专门的软件(如Windows MD5 Check等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。
另外,除了校验和防篡改,MD5还广泛用于操作系统的登陆认证上,如Unix、各类BSD系统登录密码、数字签名等诸多方面。如在Unix系统中用户的密码是以MD5(或其它类似的算法)经Hash运算后存储在文件系统中。当用户登录的时候,系统把用户输入的密码进行MD5 Hash运算,然后再去和保存在文件系统中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这可以避免用户的密码被具有系统管理员权限的用户知道。MD5将任意长度的“字节串”映射为一个128bit的大整数,并且是通过该128bit反推原始字符串是困难的,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点象不存在反函数的数学函数。所以,要遇到了md5密码的问题,比较好的办法是:用这个系统中的md5()函数重新设一个密码,如admin,把生成的一串密码的Hash值覆盖原来的Hash值就行了。
“那这个MD5可以破译么?”了解了这么多,邹道终于把问题指向了最关键的地方。
“当然可以!”邹逸几乎是不假思索就给出了肯定的答复,“2004年8月17日,在美国加州圣芭芭拉召开的国际密码大会上,山东大学王小云教授在国际会议上首次宣布了她及她的研究小组的研究成果——对MD5、HAVAL-128、MD4和RIPEMD四个著名密码算法的破译结果。次年二月宣布破解SHA-1密码。说白了,MD5实际上就是一种有损压缩技术,压缩前文件一样MD5值一定一样,反之MD5值一样并不能保证压缩前的数据是一样的。在密码学上发生这样的概率是很小的,所以MD5在密码加密领域有一席之地。但是专业的黑客甚至普通黑客也可以利用‘MD5值实际是有损压缩技术’这一原理,将MD5的逆运算的值作为一张表俗称‘彩虹表’的散列表来破解密码。”
“彩虹表?”
“嗯,Rainbow Table,那是一张用于加密散列函数逆运算的预先计算好的表,为破解密码的散列值(或称哈希值、微缩图、摘要、指纹、哈希密文)而准备。它是马丁·赫尔曼早期提出的简单算法的应用。一般主流的彩虹表都在100G以上。这样的表常常用于恢复由有限集字符组成的固定长度的纯文本密码。这是空间/时间替换的典型实践,比每一次尝试都计算哈希的暴力破解处理时间少而储存空间多,但却比简单的对每条输入散列翻查表的破解方式储存空间少而处理时间多。”
“这应该难不倒你这个小黑客!”邹道敲过去一行字,附带了个嬉皮笑脸的表情。
“难是难不倒,不过……”邹逸回过来一个“警告”的动图,“不建议这么做。”
“嗯?”
“说正经的,我不知道你在浏览什么信息,既然已经涉及MD5,说明是非同一般的机密信息,老同学,你身在网路部门,更应该知道有些东西不能去碰、去‘窥视’,即便动用彩虹桥,也难免留下改动痕迹,到时得不偿失。好奇害死猫哦!”
邹道结束了和邹逸的qq聊天。他当然知道这是邹逸善意的告诫,其实不用对方多说,他也不会真的脑袋一热,因为好奇而去破译。几分不甘是显然的,答案就在眼前,他却无法去抓住,不是能力不够,而是限于规定。现在他看着平面,那串英文和数字组成的字符一闪一闪的,仿佛是个魔鬼,用无比魅惑的声影说着“打开吧,这里面有好东西!”又好像是枚定时炸弹,警示他别踩雷区,否则一触即炸。
邹道莫名有些烦躁,他低头看看表,还有3分钟就要上班了。他退出了鹰眼,站起身,走到窗前,打开窗,一阵风吹过,让他精神一振。抬头看看天,太阳不知什么躲进了云层里,天色有些暗沉,他的心情也像这天色一般,似有一团迷雾堵在胸口,却又驱之无方。
“经波叔叔,您告诉我,”邹道看着天,喃喃自语,“履历上消失的那几年,您究竟去了哪里?”
注:
1.有损压缩,与无损数据压缩对应,又称破坏型压缩,即将次要的信息数据压缩掉,牺牲一些质量来减少数据量,使压缩比提高;它利用了人类对图像或声波中的某些频率成分不敏感的特性,允许压缩过程中损失一定的信息,是一种经过压缩、解压的数据与原始数据不同但是非常接近的压缩方法;虽然不能完全恢复原始数据,但是所损失的部分对理解原始图像的影响缩小,却换来了大得多的压缩比。常见的声音、图像、视频压缩基本都是有损的,比如mp3 、jpeg、 rmvb、 wma 、wmv等。根据各种格式设计的不同,有损数据压缩都会有generationloss:压缩与解压文件都会带来渐进的质量下降。
2.马丁·赫尔曼(Martin Hellman),密码学和网络安全技术专家,1976年与迪菲发表论文《密码学新动向》(New Directions in Cryptography),在其中阐述了关于公开密钥加密算法的新构想,即在一个完全开放的信道内,人们无需事先约定,便可进行安全的信息传输。2016年2月,获得2015年度图灵奖。
