1

在我的一个小项目中,我需要计算一个函数的哈希值。

我有一个 PHP 哈希的工作示例

$pass = "123456";
$mysalt = strrev($pass);
echo hash_pbkdf2('sha1', $pass, $mysalt, 1000, 32); //using the PHP inbuilt function

echo "</br>";
include_once('PasswordHash.php');
echo pbkdf2('sha1', $pass, $mysalt, 1000, 16);  //using external code

它们都有相同的输出:523d904c8f2df96634d9eed3b444838e

现在我需要我的代码向后兼容生成的 C#,因为密码将由 PHP 服务器验证。并且请求将由 C# 应用程序发送。

这是我尝试过的:输出=8e59ead5f90c6af11cf80641d51c241c

public static class Program
{
    public static string ReverseString(this string s)
    {
        char[] arr = s.ToCharArray();
        Array.Reverse(arr);
        return new string(arr);
    }

    static void Main(string[] args)
    {
        var pass = "123456";
        byte[] salt = Encoding.ASCII.GetBytes(pass.ReverseString());


        //https://github.com/defuse/password-hashing/blob/master/PasswordHash.cs
        //was getting error salt not 8 byte,
        //http://stackoverflow.com/questions/1647481/what-is-the-c-sharp-equivalent-of-the-php-pack-function
        salt = Pack(pass.ReverseString());
        var hash = PasswordHash.PBKDF2(pass, salt, 1000, 16);
        Console.WriteLine(BitConverter.ToString(hash).Replace("-", string.Empty).ToLower());

        Console.ReadKey();

    }

    public static byte[] Pack(string salt)
    {
        using (var ms = new MemoryStream())
        {
            using (var bw = new BinaryWriter(ms))
            {
                var data = Encoding.ASCII.GetBytes(salt);
                bw.Write(data.Length + 4); // Size of ASCII string + length (4 byte int)
                bw.Write(data);
            }

            return ms.ToArray();
        }
    }
}
4

2 回答 2

4

这里的问题是你的盐。它只有 6 个字节长,PHP处理方式与您的c#代码不同。如果您将代码更新为以下内容:

<?php
$pass = "1234567890";
$mysalt = strrev($pass);
echo hash_pbkdf2('sha1', $pass, $mysalt, 1000, 32);
?>

你的输出是:42e8bfc7fc5fd4686915d49d5a29bc1e

然后将您的c#代码调整为:

var pass = "1234567890";
byte[] salt = Encoding.ASCII.GetBytes(pass.ReverseString());

//DISABLE YOUR PACK METHOD
//salt = Pack(pass.ReverseString());

var hash = PasswordHash.PBKDF2(pass, salt, 1000, 16);
Console.WriteLine(BitConverter.ToString(hash).Replace("-", string.Empty).ToLower());

Console.ReadKey();

输出为:42e8bfc7fc5fd4686915d49d5a29bc1e

不同之处在于您的Pack方法,它随机向盐添加了 4 个字节。您可以在 VS 的检查器中轻松看到这一点。

盐检员

因此,简单的解决方法是使用至少有 8 个字符的盐(Rfc2898DeriveBytes您的C#代码使用的最小值)并且不要使用您的Pack方法

如果您查看php 文档,则有一个“征求意见”,其中提到盐必须至少为 8 字节(64 位)。因此,使用 less 会导致冲突,就像您已经遇到的那样。

更新

现在,如果您真的想使用 <8 字节的不太安全的盐,您可以查看以下 stackoverflow 问题PBKDF2 implementation in C# with Rfc2898DeriveBytes for ac# version that doesn't require a minimum length。

于 2014-05-14T12:22:14.280 回答
2

看起来 Pack 方法不是必需的,但您的 salt 必须至少为 8 个字节。

$pass = "12345678";
$mysalt = strrev($pass);
echo hash_pbkdf2('sha1', $pass, $mysalt, 1000, 32); //using the PHP inbuilt function

这输出381dae25b08b6f141671c74715961b1b.

此 C# 代码提供相同的输出。

public static class Program
{
    public static string ReverseString(this string s)
    {
        char[] arr = s.ToCharArray();
        Array.Reverse(arr);
        return new string(arr);
    }

    static void Main(string[] args)
    {
        var pass = "12345678";
        byte[] salt = Encoding.ASCII.GetBytes(pass.ReverseString());


        //https://github.com/defuse/password-hashing/blob/master/PasswordHash.cs
        //was getting error salt not 8 byte,
        //https://stackoverflow.com/questions/1647481/what-is-the-c-sharp-equivalent-of-the-php-pack-function
        var hash = PasswordHash.PBKDF2(pass, salt, 1000, 16);
        Console.WriteLine(BitConverter.ToString(hash).Replace("-", string.Empty).ToLower());

        Console.ReadKey();

    }
}

从您的评论来看,您似乎是在需求限制下进行开发的。如果您无法控制盐的要求,您可以查看这个答案

于 2014-05-14T13:57:48.283 回答