gpt4 book ai didi

java - 使用 PBEWithMD5AndDES 加密字符串以与 Java 存储的哈希进行比较

转载 作者:行者123 更新时间:2023-11-29 03:23:30 29 4
gpt4 key购买 nike

我正在使用一个以某种类型的 md5 哈希存储质询响应的应用程序。有一种 api 方法可以检查所有响应是否正确,但由于某种原因,没有一种方法可以检查一个响应,而这是我的要求。我不是要解密。我只是想以与应用程序相同的方式进行加密,以便进行比较。我有一个 JCE 库。恐怕我对加密还很陌生,所以请帮助新手提供详细的答案。这是我从属性文件中收集到的内容:

algorithm=PBEWithMD5AndDES
password=pooface
digest=MD5

示例哈希如下所示:

MD5:MXgxY21tdXR4bjB0:oRu+jlpCO/eSdwMb0iTVbw==

它们都返回 MD5:<16chars>:<24chars>。任何指导都是有帮助的。提前致谢。

最佳答案

不是真正的“答案”,而是一些提示:

  • 在没有文档的情况下,您最好对 API 实现进行逆向工程(如果您拥有它,并且它是合法的)以弄清楚它在做什么。 (从原则上讲,您应该能够要求提供 API 用于散列(或其他方式)密码的算法的文档,否则它就是安全隐蔽的)。如果没有:

  • oRu+jlpCO/eSdwMb0iTVbw== 是 Base64 编码的二进制文件。如果您对其进行 Base64 解码,您将获得 128 位,这是 MD5 哈希的大小:0xa11bbe8e5a423bf79277031bd224d56f。

  • MXgxY21tdXR4bjB0 可能是一种盐(即添加到接收到的密码中以防止字典攻击的东西:MD5("password") 是已知的并且很容易预先计算,而 MD5("MXgxY21tdXR4bjB0password") 不是).这与上一点一起,建议您计算 salt 的 MD5 散列加上其他内容以生成由 Base64 解码 oRu... 数据生成的 128 位。

  • PBE 代表基于密码的加密,即从密码(在这种情况下可能是 pooface...)生成对称 key (在这种情况下使用 MD5),然后使用该 key 加密某些内容(可能加密用户密码)与 DES。请参阅 http://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html 中的“AlgorithmParameters 算法”和 PKCS#5:http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-5-password-based-cryptography-standard.htm .

  • DES 是 block 大小为 64 位的 block 密码,因此输出(即密文)的长度将是 64 位的倍数。这可能直接存储在您的示例哈希中,但不太可能,尤其是因为这意味着您的示例哈希行中的“MD5”将毫无意义。

  • 我怀疑(但这只是一个猜测):

    1. 使用 PBEWithMD5AndDes 根据密码“pooface”导出 DES key 。
    2. 使用该 DES key 加密用户的密码。
    3. 使用 MD5 对盐和密文进行哈希处理,得到 128 位的哈希输出。
    4. 对散列进行 Base64 编码以获得 oRu... 值。
  • 其他需要考虑的事项:

    • 盐可用于导出加密 key 。

    • 盐可以用于加密。

    • 你说“挑战响应”:这可能意味着身份验证应用程序发明了一个挑战(可能是一个随机数),然后让客户端根据这个挑战和一些 secret 的知识来计算一些东西。挑战可能是盐(但有几个原因可能不是这种情况)。

    • 在 PBE 中,您有两个输入:密码(用于派生加密 key )和被加密的内容。我假设响应是使用从“pooface”派生的 key (使用 PBE/MD5)加密的。这可能是错误的方法:使用质询响应派生 key (使用 PBE/MD5),并使用它来加密“pooface”。不过,我觉得这不太可能。

大概您可以使用已知密码(或质询响应,或任何他们称之为的密码)创建自己的用户,即您可以提供已知输入并查看最终得到的输出。从相反的角度来看,这很有用。在弄清楚加密是怎么回事时,我还会使用一些实用程序:

  • 编写一个获取密码并输出 DES 加密 key 的 Java 程序(即实现 PBEWithMD5AndDes)。
  • 熟悉 openssl 命令,它将根据需要执行 MD5 哈希、DES 加密和 Base64 (en|de) 编码。

顺便说一句,现在使用 MD5 和 DES 有点差...

关于java - 使用 PBEWithMD5AndDES 加密字符串以与 Java 存储的哈希进行比较,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22333550/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com