4

Oki 所以我想通过在 .Net 中附加随机盐来散列我的密码。我为此目的使用的内置类是RNGCryptoServiceProvider - 生成随机盐和Rfc2898DeriveBytes - 散列实际密码。

但是当我为密码字符串、SaltBytes 和迭代计数的相同组合调用 Rfc2898DeriveBytes 的 GetBytes() 函数时,结果是不同的。我正在粘贴我的代码以供参考

    public class PBKDF2Implementation
    {
        int minSaltSize = 32;
        int maxSaltSize = 64;


        public string CreateHash(string plainText , out string  salt)
        {
            Random random = new Random();
            int saltSize = random.Next(minSaltSize, maxSaltSize);

            // Allocate a byte array, which will hold the salt.
            byte[] saltBytes = new byte[saltSize];

            // Initialize a random number generator.
            RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
            // Fill the salt with cryptographically strong byte values.
            rng.GetNonZeroBytes(saltBytes);

            string strSalt = System.Text.Encoding.ASCII.GetString(saltBytes);
            //string strSalt = System.Convert.ToBase64String(saltBytes);
            salt = strSalt;

            Console.WriteLine(saltBytes.Count());
            Console.WriteLine(strSalt);

            Rfc2898DeriveBytes pwdGen = new Rfc2898DeriveBytes(plainText, saltBytes, 1000);

            // generate an RC2 key
            byte[] key = pwdGen.GetBytes(32);

            Console.WriteLine(System.Convert.ToBase64String(key));
            return System.Convert.ToBase64String(key);
        }

        public bool CompareHash(string plainText, string salt, string hashValue)
        {

            byte[] saltBytes = System.Text.Encoding.ASCII.GetBytes(salt);
            //byte[] saltBytes = System.Convert.FromBase64String(salt);

            Console.WriteLine(saltBytes.Count());
            Console.WriteLine(System.Text.Encoding.ASCII.GetString(saltBytes));

            Rfc2898DeriveBytes pwdGen = new Rfc2898DeriveBytes(plainText, saltBytes, 1000);

            // generate an RC2 key
            byte[] key = pwdGen.GetBytes(32);

            Console.WriteLine(System.Convert.ToBase64String(key));
            return System.Convert.ToBase64String(key) == hashValue;
        }
    }

在我的测试课中,我有这个功能

    [Test]
    public void shouldGenerateConsistentHash()
    {
        PBKDF2Implementation cPbkdf2Implementation = new PBKDF2Implementation();
        string salt;
        string hashValue = cPbkdf2Implementation.CreateHash("password", out salt);

        bool result = cPbkdf2Implementation.CompareHash("password", salt, hashValue);
        Assert.IsTrue(result) ;
    }

测试失败。
但是,如果在上面的类 PBKDF2Implementation 中,如果我将 System.Text.Encoding.ASCII.GetString 行替换为 System.Text.Encoding.Unicode.GetString 并将 System.Text.Encoding.ASCII.GetBytes 替换为 System.Text.Encoding.Unicode。获取字节

测试通过。知道为什么会这样吗?我想让它与 ASCII 编码一起工作的原因是因为存储此哈希值的同一数据库也将被 PHP 应用程序使用,并且 PHP 的 PBKDF2 实现产生的哈希值仅在盐编码为时才与 Rfc2898DeriveBytes 的哈希值匹配ASCII。

这是相同 http://www.php.net/manual/en/function.hash-hmac.php#101540的 PHP 实现

4

1 回答 1

6
  1. 避免使用带加密的字符串。使用字节数组,即byte[]
  2. 如果您必须使用字符串,请注意编码。他们会在 10 次中咬你 9 次;

例如

byte [] data = new byte [] { 65, 0, 65 };
var s = System.Text.Encoding.ASCII.GetString (data);

什么是s价值?

答案:“A”

如果你byte[]从同一个字符串中查询出来,你会得到:byte [1] { 65 },这与原始字符串不同,并且不适用于大多数加密用法。

Base64 更安全,因为它将保持每个字节完整。

于 2012-04-04T15:46:35.257 回答