2

方法中的digest.update(salt) 在getHash(...)下面的代码示例中如何工作?我需要复制 PHP 中的逻辑。该testHash()方法具有一些嵌入的测试值。如果我注释掉,我可以得到匹配digest.update(salt)。我在 PHP 中尝试了以下组合来获得匹配但没有运气(伪代码):

  • sha256($salt.$pass)
  • sha256($pass.$salt)
  • sha256($pass.sha256($salt))
  • sha256($salt.sha256($pass))
  • sha256(sha256($pass).sha256($salt))
  • sha256(sha256($salt).sha256($pass))

代码:

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;

public class Owasp {

    private final static int ITERATION_NUMBER = 5;

    public void testhash() throws IOException, NoSuchAlgorithmException, UnsupportedEncodingException {
        byte[] bSalt = base64ToByte("123456");
        byte[] bDigest = getHash(ITERATION_NUMBER, "somepass", bSalt);
        String sDigest = byteToBase64(bDigest);
        System.out.println(sDigest);
    }

    public byte[] getHash(int iterationNb, String password, byte[] salt) throws NoSuchAlgorithmException, UnsupportedEncodingException {
        MessageDigest digest = MessageDigest.getInstance("SHA-256");
        digest.reset();
        digest.update(salt);
        byte[] input = digest.digest(password.getBytes("UTF-8"));
        for (int i = 0; i < iterationNb; i++) {
            digest.reset();
            input = digest.digest(input);
        }
        return input;
    }

    public static byte[] base64ToByte(String data) throws IOException {
        BASE64Decoder decoder = new BASE64Decoder();
        return decoder.decodeBuffer(data);
    }

    public static String byteToBase64(byte[] data) {
        BASE64Encoder endecoder = new BASE64Encoder();
        return endecoder.encode(data);
    }

    public static void main(String[] args) throws NoSuchAlgorithmException, UnsupportedEncodingException, IOException {
        Owasp t = new Owasp();
        t.testhash();
    }
}

编辑

我已经添加了我一直在使用的 PHP 代码。这并不理想,因为我没有列举我测试过的所有案例。使用我用 -g 编译的 rt.jar 文件单步调试 Netbeans 中的调试器,看起来它被存储为 $salt.$pass。使用 PHP 代码我无法找到匹配项。

PHP代码:

<?php
//Without salt
$pass = "somepass";

$hash = hash('sha256', $pass, true);
for($i = 0; $i < 5; $i++) {
    $hash = hash('sha256', $hash, true);
}

echo "Java output without salt: " . "r+G0EnbjURjk99+wMvjnJV51d/tVX8tAn+7VAUCPXRY=" . "\n";
echo "PHP output without salt : " . base64_encode($hash) . "\n";


//With salt
$pass = "somepass";
$salt = "123456";

//I've tried all sorts of combinations and manipulation.
$hash = hash('sha256', $salt.$pass, true);
for($i = 0; $i < 5; $i++) {
    $hash = hash('sha256', $hash, true);
}

echo "Java output with salt: " . "vxZP4vmc+dixEhsZW58+zViLn7XXymirCP7kbl2KtT0=" . "\n";
echo "PHP output with salt : " . base64_encode($hash) . "\n";

更新

几个小时以来,我一直在关注 Netbeans 中的调试器,试图弄清楚digest.update($salt)调用时发生了什么。MessageDigestSPI 是关键。engineUpdate(byte[] input, int offset, int len)被调用,但我找不到实现。所有的 engineUpdate 方法都可能指向,engineUpdate(ByteBuffer input)但我无法确认。我以前做过 Java 工作,但那是几年前的事了。我已经尝试了每一个 hex2bin'ed、packed、unpacked 和 Base64'ed 的方法,但都没有运气:( 我会及时通知大家。

4

1 回答 1

0

该算法基本上hash(hash(hash(hash(...hash(password)...)))))是由迭代Nb参数指定的次数。

使用盐的正确方法是将其与密码连接,然后对其进行哈希处理。这是在您的代码中通过执行 a digest.update(salt),然后使用密码调用摘要来完成的。它基本上与以下内容相同:

  String saltedPassword = password + new String(salt, "UTF-8");
  byte[] input = digest.digest(saltedPassword.getBytes("UTF-8"));

当然,就像任何适当的盐一样,您需要将其与散列密码一起存储,以便将来能够验证它。

您可以在此 Wikipedia 链接上获得有关 salt 如何存储密码哈希的更多信息。此外,在其他 StackOverflow 问题中存储密码时使用盐的一些最佳实践。

于 2013-01-23T08:36:03.200 回答