由于 SHA1 的密码分析取得了重大进展,因此应该逐步淘汰它以支持 SHA2(维基百科)。
然而,作为 PBKDF2 中的底层哈希函数,它基本上用作 PRNG。因此,使用 SHA1 作为 PBKDF2 的哈希应该仍然是安全的,对吧?
问问题
9116 次
3 回答
23
当前已知的 SHA-1 弱点在 HMAC 中使用时都不会对其安全性产生任何影响,在PBKDF2中使用时更是如此。就此而言,MD5 也可以(但不是 MD4)。
但是,SHA-1 对公共关系不利:如果在 2011 年使用 SHA-1,那么您必须准备好为自己的选择辩护。另一方面,SHA-256 是一个很好的“默认函数”,没有人会质疑它。
PBKDF2 中没有性能问题(PBKDF2 包含一个“迭代计数”,旨在使其完全符合需要的速度),因此在这里没有理由更喜欢 SHA-1 而不是 SHA-256。但是,如果您有一个使用 PBKDF2-with-SHA-1 的现有已部署系统,则无需立即“修复”它。
于 2011-02-09T12:28:52.540 回答
1
对 SHA1 的攻击引起了很多公众的骚动,使得构造与不同消息具有相同哈希值的消息成为可能。这对于每个散列函数当然总是可能的(原则上),因为散列函数的输出位比输入位少。然而,它通常不可能偶然发生,故意这样做在计算上应该是不可行的。
从“确保消息完整性”的角度来看,这可以看作是一场灾难。
另一方面,为了生成随机数,这完全没有关系。
于 2011-02-08T22:09:25.910 回答
1
当然。如果您想生成更多密钥材料,SHA-256 或更大可能会更有效。但是 PBKDF2-HMAC-SHA1 很好。标准 HMAC 的使用也没有受到影响,但在这种情况下,原则上更长的哈希值更安全。
于 2011-02-09T09:43:05.103 回答