复杂的 Hash 函数组合有意义吗?

很久以前看到一篇文章,讲某个大网站储存用户口令时,会经过十分复杂的处理。怎么个复杂不记得了,大概就是将口令先 Hash,结果加上一些特殊字符再 Hash,然后中间插入些字符再 Hash、再怎么怎么的。。。看的眼花缭乱。

当时心想这么复杂应该很安全了吧。事实上即使现在,仍有不少人是这么认为的。所以在储存账号口令时,经常会弄些千奇百怪的组合。

不过,千奇百怪的 Hash 算法究竟有意义吗?在什么情况下能派上用场?是否有更简单合理的替代方案?这问题先从拖库说起。

知道算法才能破解

数据库中的口令,都是以 Hash 形式储存的。拖下数据库后,如果要猜某个账号的明文口令,得通过跑字典的方式:

for each word in 常用词汇
    if H(word) == E
        print "明文:",word
        exit

不过,光有泄露的数据 E 不够,还得知道算法 H 才能跑的起来。光有 Hash 值,却不知道用的是那种 Hash 算法,仍然无从下手。

当然很多小网站,数据库和算法在同个系统里,一旦入侵两者都泄露了;但若数据库和算法不在同个系统里,即使能拖库也未必知道算法。

猜算法

不过即使搞不到算法,也可以尝试猜测。比如先在网站上注册个账号 —— 例如口令为 123456,然后在泄露的库中,根据用户名找到对应口令的 Hash 值,例如 dd6e5e5918e94d997c686fcebc56922f。

这时,就可以暴力猜算法了:

for each fn in 常用算法
    if fn("123456") == dd6e5e5918e94d997c686fcebc56922f
        print "算法:", fn
        exit

不难猜出,fn 为 f(x) = md5(sha256(x))。知道了算法,就可愉快的跑字典了。

奇怪算法

这时「奇怪算法」的优势就体现出来了。 如果使用的算法十分奇葩,比如:

f(x) = md5("hello~" + sha1(sha256(x)) + "world!")

根本不在常用算法里,几乎难以穷举到,于是就能躲过「猜算法」这种攻击方式。

所以,奇怪的算法是有意义的!

不过奇怪、奇葩、变态...这些都是人的主观感觉,并不能用理性来衡量。比如说刚才那个算法有多复杂?你只能说很复杂,而难以给出一个准确的程度。

算法简单,数据复杂

通过混合拼凑多个函数,来制造复杂程度,终究不是最合适的。

不妨把复杂转移到数据上,例如上述的 "hello~" 和 "world!",如果换成更长、更没意义、更难猜测的数据,不也能制造复杂吗?

所以,最终可以把函数精简到只剩一个,取而代之的是复杂的数据,例如:

f(x) = sha256(x + "18bc0a594ab5f65d868820b238b696e391eabb962e1d15c2c474a04735c1128f")

这串数据称之为密钥。密钥是随机生成的,没有任何意义,并且绝不能对外透露。

这样,复杂程度就能在密钥空间上体现出来,而不是难以衡量的奇怪函数组合


不过这里有个疑惑,为什么「密钥」加在原文后面,而不是前面、或者夹在中间?如果仅仅是看着舒服,那还是存在主观因素的。

HMAC

事实上,密码学家早已提供支持两个参数的 Hash 用法 —— HMAC,它比简单粗暴的拼接靠谱得多。于是上述可改进成:

f(x) = hmac_sha256(x, "18bc0a594ab5f65d868820b238b696e391eabb962e1d15c2c474a04735c1128f")

HMAC 第二个参数本身就是 Key 的意思,所以用在这里恰到好处。

当然,如果不保护好算法以至于很容易泄露,那么无论用奇怪组合还是这种方式,也都无济于事。

保护算法

很多人对算法保护的并不好,甚至直接写在了诸如 PHP 脚本里,只要有文件读取权限,就能搞到算法。

如果稍加隐蔽,例如通过本地服务,并控制好可执行程序的权限,或许就更难找到了。

更进一步,可以单独部署一台服务器,专门提供 HMAC 计算。通信接口足够简单,简单到几乎不可能出漏洞;并且不开放其他任何服务,只能人工管理。这样,被入侵的可能性就更小了。

当然,管理员人为泄密也是有可能的。如果要有一个终极方案,或许应该将计算交给一个独立的硬件。这个硬件是个黑盒设备,输入明文、输出 Hash 结果。算法、密钥这些都隐藏在其内部,拆开即自毁,这样管理员也无从知晓。例如 HSM(hardware security module)设备,就能将算法以及密钥进行物理隔离。

  password  |-------------------------|
----------->|         黑盒设备         |
            | KEY = ***************** |
<-----------| hmac_sha(password, KEY) |
    hash    |-------------------------|

其他策略

如果算法能保证 100% 不泄露,那么加盐、慢 Hash 这些都可以省略了,因为密钥本身就足以对抗暴力破解。

当然现实中没有绝对的事。如果算法真的泄露了,现有数据的风险就大幅增加。所以本该有的策略还是得有,不能把风险全押在一个点上。

所以加盐、慢 hash 这些仍然是需要的。最终方案应该类似这样:

# 业务逻辑
hash = pbkdf(password, salt, cost...)
            ↓
######## 隐蔽的黑盒系统 ########
hash = hmac(hash, KEY)
##############################
            ↓
# 返回业务

这样即使黑盒算法遭到泄露,破解仍然需要很大成本。

破解成本

不过,奇怪算法也有一个优势,那就是破解软件支持程度不高。

传统的权威算法,早已成为众矢之的,有各种高度优化的破解方案,因此破解速度会非常快;而奇怪算法,则不在优化范围中,因此速度会慢的多。

所以,在权威算法之后,可以考虑再混合少量奇怪算法。这样,就能再增加一层破解障碍。

总结

  • 奇怪算法是有意义的,但效果难以衡量

  • HMAC 的密钥需要足够长、足够随机、足够保密

  • 保护好算法,和保护数据库同样重要

posted @ 2016-06-04 11:32 EtherDream 阅读(...) 评论(...) 编辑 收藏