三分鐘讀懂摘要演算法
摘要演算法又稱雜湊演算法,它表示輸入任意長度的資料,輸出固定長度的資料,相同的輸入資料始終得到相同的輸出,不同的輸入資料儘量得到不同的輸出。
Java中的Object.hashCode()方法就是一個摘要演算法,它可以輸入任意資料,它的輸出是一個int型別,即4個位元組的固定長度資料,同時,相同的輸入會得到相同的輸出,這也是重寫equals方法必須重寫hashCode方法的原因。
由於輸出的長度是固定且輸出的長度是不固定的,意味著兩個不同的輸入可能得到相同的輸出,這就是碰撞問題。這就要求在設計Hash演算法時,儘量使得碰撞率低,而且不能猜測輸出,例如:hash(“java1”)=”123456”,hash(“java2”)=”123457”,那麼我們就可以猜測出hash(“java3”)=”123458”,也就是說一個安全的hash演算法很難從輸出反推輸入,只能依靠暴力窮舉。
目前常用的摘要演算法:
| 演算法 | 輸出長度 |
|---|---|
| MD5 | 128bit |
| SHA-1 | 160bit |
| SHA-256 | 256bit |
MD5
MD5的用途
- 驗證檔案完整性
- 儲存使用者口令
系統不用儲存使用者原始口令,而是儲存使用者原始口令的MD5,系統計算使用者輸入的原始口令的MD5並與資料儲存的MD5進行對比,如果相同,則說明口令正確,反之則說明口令錯誤。在使用MD5時我們需要注意彩虹表攻擊,彩虹表就是預先儲存常用口令和對應MD5值,那麼黑客就可以根據彩虹表反查MD5對應的密碼,所以為了抵禦彩虹表攻擊我們不能簡單的記錄原始口令的MD5值,而是對每個口令額外新增隨機數salt,即md5(salt+password)。Java程式碼如下:
// MD5的輸入是位元組陣列
public static byte[] toMD5(byte[] input) {
MessageDigest md = null;
try {
md = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
md.update(input);
return md.digest();
}
public SHA-1
SHA-1演算法也是一種雜湊演算法,輸出160bit,它的同類型演算法有SHA-256和SHA-512,輸出的長度分別是256bit和512bit。SHA-1在Java中使用同MD5類似:
public static byte[] sha(byte[] input) {
MessageDigest md = null;
try {
md = MessageDigest.getInstance("SHA-1");
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
md.update(input);
return md.digest();
}
public static void main(String[] args) throws UnsupportedEncodingException {
String str = "SHA-1摘要演算法測試";
byte[] r = sha(str.getBytes());
System.out.println(String.format("%040x", new BigInteger(1, r)));
}
歡迎關注微信公眾號:木可大大,所有文章都將同步在公眾號上。