💡 Key Takeaways
- What Hash Functions Actually Do (And Why You Should Care)
- MD5: The Broken Algorithm That Won't Die
- SHA-256: The Cryptographic Workhorse
- bcrypt: Purpose-Built for Password Security
我仍然记得那天我不得不向我们的首席执行官解释为什么我们的整个用户数据库被泄露。那是2016年,我已经做了八年的安全工程师,认为我知道自己在做什么。我们使用MD5来散列密码——这是我加入前的几年前做出的决定——一个攻击者在不到48小时内破解了我们340,000个用户密码中的87%。这次泄露让我们损失了230万美元的补救费用,无数工程时间,几乎毁掉了我们的声誉。这个痛苦的教训教会了我一个关键的事情:理解哈希函数对开发人员来说不再是可选的。它是基础。
💡 关键要点
- 哈希函数实际上做什么(以及为什么你应该关心)
- MD5:无法消亡的破碎算法
- SHA-256:密码学的工作马
- bcrypt:专为密码安全而生
今天,作为一名拥有15年经验的首席安全架构师,我审查了数百个代码库,并与数十家初创公司进行了咨询。相同的错误不断出现。开发人员将哈希函数视为可互换的黑箱,选择MD5是因为它“快”或SHA-256是因为它听起来安全。但事实是:选择错误的哈希函数就像在潜艇上安装一个防虫网。它看起来像安全,但在压力到来时不会救你。
哈希函数实际上做什么(以及为什么你应该关心)
让我们从基础知识开始。哈希函数接受任何大小的输入,并生成一个固定大小的输出,称为哈希或摘要。把它想象成一个数学指纹。你输入“password123”,得到类似“482c811da5d5b4bc6d497ffa98491e38”的结果。相同的输入总是产生相同的输出,但即使是微小的变化——比如“password124”——也会产生完全不同的哈希。
这种确定性行为使哈希函数变得非常有用。我每天都用它们进行数据完整性检查、数字签名、密码存储和缓存键。但这里是大多数开发人员忽视的:并非所有哈希函数都是平等的,使用错误的哈希函数可能是灾难性的。
哈希函数有三个关键属性。首先,它们是单向函数——无法反转过程以获取原始输入。第二,它们是抗碰撞的,这意味着找到两个不同输入生成相同哈希在计算上应当是不可行的。第三,它们表现出雪崩效应,即输入的微小变化会产生截然不同的输出。
在我的咨询工作中,我看到开发人员将哈希函数与加密混淆。这是危险的。加密是可逆的,只要有正确的密钥;哈希则不是。当你加密数据时,计划稍后解密它。当你哈希数据时,你是在创建一个单向转换。我曾审核过一家“加密”密码使用AES,并且把密钥存储在同一数据库的医疗初创公司。他们认为自己很安全。实际上并不是。
现实世界的影响是巨大的。根据2023年《沃兹网络数据泄露调查报告》,86%的泄露事件涉及被盗凭证。如果你不正确存储密码,你不仅是在冒着用户的风险——你还在冒着整个企业的风险。我看到公司在安全事件后倒闭,而正确的哈希本可以防止这些事件的发生。
MD5:无法消亡的破碎算法
MD5(消息摘要算法5)是由Ronald Rivest在1991年设计的。它生成一个128位的哈希值,通常表示为32个字符的十六进制数字。十多年来,它是从密码存储到文件完整性检查的首选哈希函数。然后我们发现它在根本上是破损的。
"MD5和bcrypt之间的区别不仅仅是技术上的——它是导致损失数百万的泄露和仅仅是麻烦的泄露之间的区别。选择你的哈希函数,就像你的公司的生存依赖于此,因为确实如此。"
第一个针对MD5的碰撞攻击在2004年由Xiaoyun Wang及其团队发布。他们证明了两个不同的输入可以在几个小时的计算中生成相同的MD5哈希。到2012年,研究人员能够在消费级硬件上在几秒钟内生成MD5碰撞。今天,利用云计算,你可以花大约0.65美元的AWS计算时间生成碰撞。
我仍然在生产系统中经常遇到MD5。上个月,我审查了一款处理每月5000万美元交易的金融科技应用程序。他们使用MD5来哈希API令牌。当我指出漏洞时,首席开发人员说:“但我们只是用它来做校验和,而不是密码。”这完全未能理解要点。MD5的碰撞漏洞使其不适合任何安全关键的应用程序。
这里有一个具体的危险示例。攻击者可以创建两个不同的可执行文件,其MD5哈希相同。他们提交良性版本进行代码审查,获得批准后,然后交换成恶意版本。你的MD5校验和验证通过,但你刚刚部署了恶意软件。这不是理论上的——它在真实攻击中确实发生过,包括在Microsoft的代码签名中利用MD5碰撞的Flame恶意软件。
曾经使MD5吸引人的速度现在是它最大的弱点。在现代硬件上,你可以使用单个GPU每秒计算约80亿个MD5哈希。这使得暴力破解攻击变得非常简单。我在我的工作站上进行了一次测试,使用NVIDIA RTX 4090:在47分钟内破解了一个包含100,000个MD5散列密码的数据库。这些密码并不弱——它们平均10个字符,包含大小写字母和数字。MD5根本无法抵御现代计算能力。
尽管如此,MD5依然存在。我在遗留系统、快速且肮脏的脚本中,以及自2010年以来未更新的教程中看到它。开发人员选择它是因为它快,因为它熟悉,因为“我们不存储任何重要的东西”。但安全并不是那么简单。你不能只是“相对安全”。要么你的哈希函数在密码学上是安全的,要么它是一个等待爆炸的隐患。
SHA-256:密码学的工作马
SHA-256是SHA-2系列的一部分,由NSA设计并于2001年发布。它生成一个256位的哈希值,通常表示为64个字符的十六进制字符串。与MD5不同,SHA-256仍然具有密码学上的安全性。没有实际的碰撞攻击存在,它是现代安全基础设施的支柱,包括比特币的工作量证明算法。
| 哈希函数 | 速度 | 使用案例 | 安全状态 |
|---|---|---|---|
| MD5 | 极快(约300 MB/s) | 校验和,非安全应用 | 密码学上破坏 - 从不用于密码 |
| SHA-256 | 非常快(约150 MB/s) | 数字签名,证书,文件完整性 | 完整性安全,用于密码的错误工具 |
| bcrypt | 故意慢(可调节) | 密码哈希 | 行业标准 - 为密码设计 |
| Argon2 | 故意慢(可调节) | 密码哈希,密钥派生 | 现代标准 - 密码哈希竞赛的冠军 |
| PBKDF2 | 可配置慢 | 密码哈希,遗留系统 | 可接受,但更推荐bcrypt/Argon2 |
我广泛使用SHA-256,但有重要的警告。它非常适合数据完整性、数字签名和区块链应用。它的速度很快——我的笔记本电脑每秒可以计算约5亿个SHA-256哈希——这使得它非常适合验证文件下载或创建内容可寻址存储系统。Git使用SHA-1(SHA-256的前身)正是出于这个目的。
但开发人员在这里犯了错误:他们将SHA-256用于密码哈希。这看起来合乎逻辑——它安全、快速,并且被安全标准推荐。问题是“快速”正是你在密码哈希中想要避免的。记住每秒500百万个哈希?这意味着一个拥有良好GPU的攻击者每秒可以尝试500百万个密码猜测。
让我用真实数字来说明。我最近使用hashcat在一个拥有四个RTX 4090 GPU的系统上测试了对SHA-256哈希的密码攻击。该设置花费约8000美元,可以每秒计算2000亿个SHA-256哈希。以这样的速度,我可以在大约3.5小时内穷尽所有8个字符的密码(使用大写字母、小写字母和数字)。即便加盐——你应该始终使用加盐——SHA-256的速度使得暴力破解攻击极为有效。
SHA-256的正确使用案例是,当你需要密码学安全性但不需要密码存储时。我在HMAC(基于哈希的消息认证码)实现中使用它,在那里我验证消息未被篡改。我用它来从内容创建确定性ID。我在证书链和数字签名中使用它。这些应用寻求SHA-256的速度和安全性。
我推荐的一种模式是将SHA-256作为密钥派生函数的一部分,但绝不单独使用。例如,在一个最近的项目中,我们需要从用户密码生成加密密钥。我们使用PBKDF2,SHA-256作为基础哈希函数,运行