php - 为什么 crypt/blowfish 使用两种不同的盐生成相同的散列？

Question

这个问题与 PHP 对 crypt() 的实现有关。 .对于这道题，salt 的前 7 个字符不算在内，所以 salt '$2a$07$a' 可以说长度为 1，因为它只有 1 个 salt 字符和七个字符的元数据。

当使用长度超过 22 个字符的 salt 字符串时，生成的哈希值没有变化(即截断)，当使用长度小于 21 个字符的字符串时，salt 将自动填充(使用 '$'字符，显然)；这很简单。但是，如果给定一个 20 个字符的 salt 和一个 21 个字符的 salt，其中除了 21 长度的 salt 的最后一个字符之外两者是相同的，那么两个散列字符串将是相同的。一个 22 个字符长的 salt，除了最后一个字符外，与 21 个长度的 salt 完全相同，哈希值将再次不同。

代码示例:

$foo = 'bar';
$salt_xx = '$2a$07$';
$salt_19 = $salt_xx . 'b1b2ee48991281a439d';
$salt_20 = $salt_19 . 'a';
$salt_21 = $salt_20 . '2';
$salt_22 = $salt_21 . 'b';

var_dump(
    crypt($foo, $salt_19), 
    crypt($foo, $salt_20), 
    crypt($foo, $salt_21), 
    crypt($foo, $salt_22)
);

将产生:

string(60) "$2a$07$b1b2ee48991281a439d$$.dEUdhUoQXVqUieLTCp0cFVolhFcbuNi"
string(60) "$2a$07$b1b2ee48991281a439da$.UxGYN739wLkV5PGoR1XA4EvNVPjwylG"
string(60) "$2a$07$b1b2ee48991281a439da2.UxGYN739wLkV5PGoR1XA4EvNVPjwylG"
string(60) "$2a$07$b1b2ee48991281a439da2O4AH0.y/AsOuzMpI.f4sBs8E2hQjPUQq"

这是为什么？

编辑:

一些用户注意到整个字符串存在差异，这是事实。在salt_20中，偏移量(28, 4)是da$.，而在salt_21中，偏移量(28, 4)是da2 .;然而，重要的是要注意生成的字符串包括哈希、盐以及生成盐的指令(即 $2a$07$)；实际上，发生差异的部分仍然是盐。实际哈希值未更改为 UxGYN739wLkV5PGoR1XA4EvNVPjwylG。

因此，这实际上不是生成的哈希值的差异，而是用于存储哈希值的盐的差异，这正是手头的问题:两个盐生成相同的哈希值。

记住:输出将采用以下格式:

"$2a$##$saltsaltsaltsaltsaltsaHASHhashHASHhashHASHhashHASHhash"
//                            ^ Hash Starts Here, offset 28,32

其中 ## 是 log-base-2，确定算法运行的迭代次数

编辑 2:

在评论中，要求我发布一些额外的信息，因为用户无法重现我的输出。执行以下代码:

var_dump(
    PHP_VERSION, 
    PHP_OS, 
    CRYPT_SALT_LENGTH, 
    CRYPT_STD_DES, 
    CRYPT_EXT_DES, 
    CRYPT_MD5, 
    CRYPT_BLOWFISH
);

产生以下输出:

string(5) "5.3.0"
string(5) "WINNT"
int(60)
int(1)
int(1)
int(1)
int(1)

希望这对您有所帮助。

Answer 1

经过一些实验，我得出的结论是，这是由于盐的处理方式所致。 salt 不被视为文字文本，而是 base64 编码的字符串，这样 22 字节的 salt 数据实际上代表 16 字节的字符串 (floor(22 * 24/32) == 16) 的盐。 “捕获了!”但是，对于此实现，与 Unix crypt 一样，它使用“非标准”base64 字母表。准确地说，它使用这个字母表:

./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789$

第 65 个字符 '$' 是填充字符。

现在，crypt() 函数似乎能够接受任何长度小于或等于其最大值的盐，并通过丢弃任何不一致的数据来静默处理 base64 中的任何不一致' 组成另一个完整的字节。如果您在 salt 中传递不属于其 base64 字母表的字符，crypt 函数将完全失败，这恰好证实了其操作理论。

取一个假想的盐“1234”。这是完全一致的 base64，因为它表示 24 位数据，即 3 个字节，并且不携带任何需要丢弃的数据。这是 Len Mod 4 为零的盐。向该盐添加任何字符，它变成一个 5 个字符的盐，Len Mod 4 现在是 1。但是，这个额外的字符只代表六位数据，因此不能转换成另一个完整的字节，所以它被丢弃。

因此，对于任意两种盐 A 和 B，其中

   Len A Mod 4 == 0 
&& Len B Mod 4 == 1  // these two lines mean the same thing
&& Len B = Len A + 1 // but are semantically important separately
&& A == substr B, 0, Len A

crypt() 用于计算散列的实际盐实际上是相同的。作为证明，我提供了一些可用于展示这一点的示例 PHP 代码。盐以半非随机方式不断旋转(基于当前时间到微秒的漩涡散列的随机段)，以及要散列的数据(此处称为$ seed) 只是当前的 Unix-Epoch 时间。

$salt = substr(hash('whirlpool',microtime()),rand(0,105),22);
$seed = time();
for ($i = 0, $j = strlen($salt); $i <= $j; ++$i) {
    printf('%02d = %s%s%c',
        $i,
        crypt($seed,'$2a$07$' . substr($salt, 0, $i)),
        $i%4 == 0 || $i % 4 == 1 ? ' <-' : '',
        0x0A
    );
}

这会产生类似于以下的输出

00 = $2a$07$$$$$$$$$$$$$$$$$$$$$$.rBxL4x0LvuUp8rhGfnEKSOevBKB5V2. <-
01 = $2a$07$e$$$$$$$$$$$$$$$$$$$$.rBxL4x0LvuUp8rhGfnEKSOevBKB5V2. <-
02 = $2a$07$e8$$$$$$$$$$$$$$$$$$$.WEimjvvOvQ.lGh/V6HFkts7Rq5rpXZG
03 = $2a$07$e89$$$$$$$$$$$$$$$$$$.Ww5p352lsfQCWarRIWWGGbKa074K4/.
04 = $2a$07$e895$$$$$$$$$$$$$$$$$.ZGSPawtL.pOeNI74nhhnHowYrJBrLuW <-
05 = $2a$07$e8955$$$$$$$$$$$$$$$$.ZGSPawtL.pOeNI74nhhnHowYrJBrLuW <-
06 = $2a$07$e8955b$$$$$$$$$$$$$$$.2UumGVfyc4SgAZBs5P6IKlUYma7sxqa
07 = $2a$07$e8955be$$$$$$$$$$$$$$.gb6deOAckxHP/WIZOGPZ6/P3oUSQkPm
08 = $2a$07$e8955be6$$$$$$$$$$$$$.5gox0YOqQMfF6FBU9weAz5RmcIKZoki <-
09 = $2a$07$e8955be61$$$$$$$$$$$$.5gox0YOqQMfF6FBU9weAz5RmcIKZoki <-
10 = $2a$07$e8955be616$$$$$$$$$$$.hWHhdkS9Z3m7/PMKn1Ko7Qf2S7H4ttK
11 = $2a$07$e8955be6162$$$$$$$$$$.meHPOa25CYG2G8JrbC8dPQuWf9yw0Iy
12 = $2a$07$e8955be61624$$$$$$$$$.vcp/UGtAwLJWvtKTndM7w1/30NuYdYa <-
13 = $2a$07$e8955be616246$$$$$$$$.vcp/UGtAwLJWvtKTndM7w1/30NuYdYa <-
14 = $2a$07$e8955be6162468$$$$$$$.OTzcPMwrtXxx6YHKtaX0mypWvqJK5Ye
15 = $2a$07$e8955be6162468d$$$$$$.pDcOFp68WnHqU8tZJxuf2V0nqUqwc0W
16 = $2a$07$e8955be6162468de$$$$$.YDv5tkOeXkOECJmjl1R8zXVRMlU0rJi <-
17 = $2a$07$e8955be6162468deb$$$$.YDv5tkOeXkOECJmjl1R8zXVRMlU0rJi <-
18 = $2a$07$e8955be6162468deb0$$$.aNZIHogUlCn8H7W3naR50pzEsQgnakq
19 = $2a$07$e8955be6162468deb0d$$.ytfAwRL.czZr/K3hGPmbgJlheoZUyL2
20 = $2a$07$e8955be6162468deb0da$.0xhS8VgxJOn4skeI02VNI6jI6324EPe <-
21 = $2a$07$e8955be6162468deb0da3.0xhS8VgxJOn4skeI02VNI6jI6324EPe <-
22 = $2a$07$e8955be6162468deb0da3ucYVpET7X/5YddEeJxVqqUIxs3COrdym

结论？双重。首先，它按预期工作，其次，了解你自己的盐或者不要自己卷盐。