13

PHP 5.6 引入hash_equals()了安全比较密码哈希和防止定时攻击的功能。它的签名是:

bool hash_equals(string $known_string, string $user_string)

如文档中所述,$known_string并且$user_string函数的长度必须相同才能有效防止定时攻击(否则,false立即返回,泄漏已知字符串的长度)。

此外,文档说:

重要的是提供用户提供的字符串作为第二个参数,而不是第一个参数。

对我来说,函数的参数不是对称的,这似乎不直观。

问题是:

  • 为什么最后提供用户字符串很重要?

以下是该函数源代码的摘录:

PHP_FUNCTION(hash_equals)
{
    /* ... */

    if (Z_STRLEN_P(known_zval) != Z_STRLEN_P(user_zval)) {
        RETURN_FALSE;
    }

    /* ... */

    /* This is security sensitive code. Do not optimize this for speed. */
    for (j = 0; j < Z_STRLEN_P(known_zval); j++) {
        result |= known_str[j] ^ user_str[j];
    }

    RETURN_BOOL(0 == result);
}

至于我,关于这两个论点,实现是完全对称的。唯一可以产生任何影响的操作是 XOR 运算符。

  • XOR 运算符是否有可能在非常量时间内执行,具体取决于参数值?它的执行时间可能取决于参数的顺序(例如,如果第一个参数为零)?

  • 还是 PHP 文档中的这个注释是对未来版本中实现更改的“保留”?

编辑

正如Morpfh所说,最初的提案实施是不同的:

PHP_FUNCTION(hash_compare)
{
    /* ... */

    /**
     * If known_string has a length of 0 we set the length to 1,
     * this will cause us to compare all bytes of userString with the null byte which fails
     */
    mod_len = MAX(known_len, 1);

    /* This is security sensitive code. Do not optimize this for speed. */
    result = known_len - user_len;
    for (j = 0; j < user_len; j++) {
        result |= known_str[j % mod_len] ^ user_str[j];
    }

    RETURN_BOOL(0 == result);
}

如您所见,草案实现尝试处理不同长度的哈希,并且它不对称地处理参​​数。也许这个实施草案不是第一个。

总结: 文档中关于参数顺序的注释似乎是实施草案的遗留物。

4

1 回答 1

5

更新:

请参阅 Rouven Weßling 的评论(在此答案下方)。

…</p>

这更多的是猜测而不是答案,但也许你会从中得到一些东西。

正如您所提到的,一个猜测是,如果函数将来发生变化,无论出于何种原因,它是为了可能的向后兼容性,以(1)在相等长度上返回 false;因此容易受到泄漏长度信息的影响 - 或 (2) 其他算法/检查需要知道哪个是哪个 - 或 (n) ...

一个可能的候选者是它是从提案到实施的剩余部分:

因此,从提案一有:

用户必须注意,因为重要的是用户提供的字符串(或该字符串的哈希)用作第二个参数而不是第一个参数。

自提案创建以来一直存在:

可以链接到References,例如:

其中一个不是以相等的长度返回,而是循环 useLen。

于 2015-01-13T00:00:11.073 回答