กรอบงาน. NET มาพร้อมกับอัลกอริทึมการแฮช 6 แบบ:

• MD5: 16 ไบต์ (เวลาที่แฮช 500MB: 1462 ms)
• SHA-1: 20 ไบต์ (1644 มิลลิวินาที)
• SHA256: 32 ไบต์ (5618 ms)
• SHA384: 48 ไบต์ (3839 มิลลิวินาที)
• SHA512: 64 ไบต์ (3820 มิลลิวินาที)
• RIPEMD: 20 ไบต์ (7066 ms)

แต่ละฟังก์ชันเหล่านี้ทำงานแตกต่างกัน MD5 นั้นเร็วที่สุดและ RIPEMD นั้นช้าที่สุด

MD5 มีข้อได้เปรียบที่เหมาะกับ Guid ประเภทในตัว; และมันก็เป็นพื้นฐานของประเภท 3 UUID แฮช SHA-1 เป็นพื้นฐานของประเภท 5 UUID ซึ่งทำให้พวกเขาใช้งานได้ง่ายมากสำหรับการระบุตัวตน

อย่างไรก็ตาม MD5 มีความเสี่ยงที่จะถูกโจมตีจากการชน SHA-1 ก็มีความเสี่ยงเช่นกัน แต่ในระดับที่น้อยกว่า

ฉันควรใช้อัลกอริทึมการแปลงแป้นพิมพ์แบบใดภายใต้เงื่อนไขใด

คำถามที่เฉพาะเจาะจงฉันอยากรู้อยากเห็นคำตอบคือ:

• MD5 ไม่น่าเชื่อถือใช่ไหม ภายใต้สถานการณ์ปกติเมื่อคุณใช้อัลกอริทึม MD5 โดยไม่มีเจตนาที่เป็นอันตรายและไม่มีบุคคลที่สามที่มีเจตนาร้ายใด ๆ ที่คุณคาดหวังว่าจะมีการชนกันใด ๆ

• RIPEMD ดีกว่า SHA1 มากแค่ไหน? (ถ้ามันดีกว่า) มันช้ากว่าการคำนวณ 5 เท่า แต่ขนาดแฮชจะเหมือนกับ SHA1

• อัตราต่อรองของการชนที่ไม่เป็นอันตรายเมื่อ hashing ชื่อไฟล์ (หรือสตริงสั้น ๆ อื่น ๆ ) คืออะไร? (เช่นชื่อไฟล์สุ่ม 2 รายการที่มีแฮช MD5 เดียวกัน) (โดยมี MD5 / SHA1 / SHA2xx) โดยทั่วไปแล้วอัตราต่อรองของการชนที่ไม่เป็นอันตรายคืออะไร?

นี่คือมาตรฐานที่ฉันใช้:

    static void TimeAction(string description, int iterations, Action func) {
        var watch = new Stopwatch();
        watch.Start();
        for (int i = 0; i < iterations; i++) {
            func();
        }
        watch.Stop();
        Console.Write(description);
        Console.WriteLine(" Time Elapsed {0} ms", watch.ElapsedMilliseconds);
    }

    static byte[] GetRandomBytes(int count) {
        var bytes = new byte[count];
        (new Random()).NextBytes(bytes);
        return bytes;
    }


    static void Main(string[] args) {

        var md5 = new MD5CryptoServiceProvider();
        var sha1 = new SHA1CryptoServiceProvider();
        var sha256 = new SHA256CryptoServiceProvider();
        var sha384 = new SHA384CryptoServiceProvider();
        var sha512 = new SHA512CryptoServiceProvider();
        var ripemd160 = new RIPEMD160Managed();

        var source = GetRandomBytes(1000 * 1024);

        var algorithms = new Dictionary<string,HashAlgorithm>();
        algorithms["md5"] = md5;
        algorithms["sha1"] = sha1;
        algorithms["sha256"] = sha256;
        algorithms["sha384"] = sha384;
        algorithms["sha512"] = sha512;
        algorithms["ripemd160"] = ripemd160;

        foreach (var pair in algorithms) {
            Console.WriteLine("Hash Length for {0} is {1}", 
                pair.Key, 
                pair.Value.ComputeHash(source).Length);
        }

        foreach (var pair in algorithms) {
            TimeAction(pair.Key + " calculation", 500, () =>
            {
                pair.Value.ComputeHash(source);
            });
        }

        Console.ReadKey();
    }

ในการเข้ารหัสลับฟังก์ชันแฮชจัดเตรียมสามฟังก์ชันแยกกัน

1. ต้านทานชน : วิธีที่ยากก็คือสำหรับคนที่จะได้พบกับสองข้อความ ( ใด ๆสองข้อความ) ที่กัญชาเดียวกัน
2. Preimage Resistance : เมื่อได้รับการแฮชมันยากแค่ไหนที่จะค้นหาข้อความอื่นที่แฮชเหมือนกัน? นอกจากนี้ยังเป็นที่รู้จักกันเป็นฟังก์ชันแฮชทางเดียว
3. การต้านทาน preimage ที่สอง : รับข้อความค้นหาข้อความอื่นที่แฮชเหมือนกัน

คุณสมบัติเหล่านี้สัมพันธ์กัน แต่เป็นอิสระ ตัวอย่างเช่นความต้านทานการชนหมายถึงความต้านทาน preimage ที่สอง แต่ไม่ใช่วิธีอื่น ๆ สำหรับแอปพลิเคชันที่ระบุคุณจะมีข้อกำหนดที่แตกต่างกันโดยต้องการคุณสมบัติเหล่านี้อย่างน้อยหนึ่งรายการ ฟังก์ชั่นแฮชสำหรับการรักษารหัสผ่านบนเซิร์ฟเวอร์โดยปกติแล้วจะต้องใช้การต้านทานล่วงหน้าเท่านั้น

มีการแสดงให้เห็นว่า MD5 ไม่ต้านทานการชน แต่ไม่ได้กีดกันการใช้งานในแอพพลิเคชั่นที่ไม่ต้องการความต้านทานการชน แท้จริงแล้ว MD5 นั้นยังคงใช้ในแอปพลิเคชันซึ่งขนาดและความเร็วของคีย์ที่เล็กลงนั้นมีประโยชน์ ที่กล่าวว่าเนื่องจากข้อบกพร่องของนักวิจัยแนะนำให้ใช้ฟังก์ชันแฮชอื่น ๆ ในสถานการณ์ใหม่

SHA1 มีข้อบกพร่องที่อนุญาตให้พบการชนกันในทางทฤษฎีน้อยกว่า 2 ^ 80 ขั้นตอนจะต้องใช้ฟังก์ชันแฮชที่ปลอดภัยตามความยาวของมัน การจู่โจมกำลังได้รับการแก้ไขอย่างต่อเนื่องและในปัจจุบันสามารถทำได้ในขั้นตอน ~ 2 ^ 63 - เพิ่งจะอยู่ในขอบเขตของความสามารถในการคำนวณปัจจุบัน ด้วยเหตุนี้ NIST จึงยกเลิกการใช้ SHA1 โดยระบุว่าครอบครัว SHA2 ควรจะใช้งานหลังจากปี 2010

SHA2 เป็นกลุ่มฟังก์ชันแฮชใหม่ที่สร้างขึ้นหลังจาก SHA1 ขณะนี้ไม่มีการโจมตีที่รู้จักกับฟังก์ชั่น SHA2 SHA256, 384 และ 512 เป็นส่วนหนึ่งของตระกูล SHA2 ทั้งหมดโดยใช้ความยาวคีย์ที่แตกต่างกัน

RIPEMD ฉันไม่สามารถแสดงความคิดเห็นได้มากเกินไปยกเว้นว่าจะไม่เป็นที่ใช้กันทั่วไปในครอบครัว SHA ดังนั้นจึงไม่ได้รับการพิจารณาอย่างใกล้ชิดโดยนักวิจัยการเข้ารหัส ด้วยเหตุผลเพียงอย่างเดียวฉันอยากจะแนะนำให้ใช้ฟังก์ชั่น SHA มากกว่า ในการใช้งานที่คุณใช้ดูเหมือนจะค่อนข้างช้าเช่นกันซึ่งทำให้มีประโยชน์น้อยลง

โดยสรุปไม่มีฟังก์ชั่นที่ดีที่สุด - ทั้งหมดขึ้นอยู่กับสิ่งที่คุณต้องการ ระวังข้อบกพร่องในแต่ละข้อและคุณจะสามารถเลือกฟังก์ชันแฮชที่เหมาะสมที่สุดสำหรับสถานการณ์ของคุณ

ฟังก์ชันแฮชทั้งหมด "แตก"

หลักรังนกพิราบกล่าวว่าพยายามที่ยากอย่างที่คุณคุณจะไม่สามารถใส่มากกว่า 2 นกพิราบใน 2 หลุม (ยกเว้นกรณีที่คุณตัดนกพิราบขึ้นไป) ในทำนองเดียวกันคุณไม่สามารถใส่หมายเลข 2 ^ 128 + 1 ใน 2 ^ 128 ช่องได้ ฟังก์ชันแฮชทั้งหมดส่งผลให้มีแฮชขนาด จำกัด ซึ่งหมายความว่าคุณสามารถค้นหาการชนกันได้เสมอหากคุณค้นหา "ขนาด จำกัด " + 1 ลำดับ มันเป็นไปไม่ได้ที่จะทำเช่นนั้น ไม่ได้สำหรับ MD5 และไม่เข็ด

MD5 / SHA1 / Sha2xx ไม่มีการชนกันของโอกาส

ฟังก์ชันแฮชทั้งหมดมีการชนกันมันเป็นความจริงของชีวิต มาในชนเหล่านี้โดยการเกิดอุบัติเหตุเป็นเทียบเท่าของที่ชนะการจับสลากอวกาศ กล่าวคือไม่มีใครชนะลอตเตอรี่อวกาศมันไม่ใช่วิธีที่ลอตเตอรี่ทำงาน คุณจะไม่เจอแฮช MD5 / SHA1 / SHA2XXX ที่ไม่ตั้งใจโดยไม่ได้ตั้งใจ ทุกคำในทุกพจนานุกรมในทุกภาษาจะมีค่าแตกต่างกัน ทุกชื่อพา ธ ในทุกเครื่องในโลกมีแฮช MD5 / SHA1 / SHA2XXX ที่แตกต่างกัน ฉันจะรู้ได้อย่างไรว่าคุณอาจถาม อย่างที่ฉันพูดไว้ก่อนหน้านี้ไม่มีใครชนะลอตเตอรี่อวกาศเลย

แต่ ... MD5 เสีย

บางครั้งความจริงที่ว่าเสียของมันไม่ได้เรื่อง

ในขณะที่มันยืนอยู่นั้นไม่มีการโจมตี pre-image หรือการ pre-image ที่สองใน MD5

MD5 จะเสียอะไรไปคุณถาม เป็นไปได้สำหรับบุคคลที่สามในการสร้าง 2 ข้อความซึ่งหนึ่งในนั้นคือความชั่วร้ายและอื่น ๆ ซึ่งเป็นสิ่งที่ดีที่ทั้งแฮชให้เป็นค่าเดียวกัน ( การโจมตีชน )

อย่างไรก็ตามข้อเสนอแนะ RSA ปัจจุบันไม่ควรใช้ MD5 หากคุณต้องการความต้านทานภาพล่วงหน้า ผู้คนมักจะทำผิดด้านความระมัดระวังเมื่อพูดถึงอัลกอริธึมความปลอดภัย

ดังนั้นฉันควรใช้ฟังก์ชัน hash อะไรใน. NET

• ใช้ MD5 หากคุณต้องการความเร็ว / ขนาดและไม่สนใจการโจมตีวันเกิดหรือการโจมตีล่วงหน้า

ทำซ้ำสิ่งนี้หลังจากฉันไม่มีการชน MD5 โอกาสการชนที่เป็นอันตรายสามารถออกแบบอย่างระมัดระวัง แม้ว่าจะไม่มีการโจมตีล่วงหน้าของภาพที่รู้จักบน MD5 แต่สายจากผู้เชี่ยวชาญด้านความปลอดภัยก็คือไม่ควรใช้ MD5 ในที่ที่คุณต้องการป้องกันการโจมตีล่วงหน้า เดียวกันจะไปสำหรับ SHA1

โปรดทราบว่าอัลกอริทึมทั้งหมดไม่จำเป็นต้องป้องกันการโจมตีล่วงหน้าหรือการชนกันของข้อมูล นำเรื่องเล็ก ๆ น้อย ๆ ของการค้นหาผ่านครั้งแรกสำหรับไฟล์ที่ซ้ำกันใน HD ของคุณ

• ใช้ฟังก์ชั่นที่ใช้ SHA2XX หากคุณต้องการฟังก์ชั่นแฮชที่เข้ารหัสลับ

ไม่มีใครเคยพบการปะทะกันของ SHA512 เคย. พวกเขาได้พยายามอย่างหนักจริงๆ สำหรับเรื่องนั้นไม่มีใครเคยพบการปะทะของ SHA256 หรือ 384 เลย .

• อย่าใช้ SHA1 หรือ RIPEMD เว้นแต่ว่าจะเป็นสถานการณ์การทำงานร่วมกัน

RIPMED ไม่ได้รับการตรวจสอบจำนวนเดียวกันกับที่ SHAX และ MD5 ได้รับ ทั้ง SHA1 และ RIPEMD เสี่ยงต่อการโจมตีวันเกิด พวกเขาทั้งคู่ช้ากว่า MD5 บน. NET และมีขนาด 20 ไบต์ที่น่าอึดอัดใจ มันไม่มีประโยชน์ที่จะใช้ฟังก์ชั่นเหล่านี้ลืมเกี่ยวกับพวกมัน

การโจมตีของการปะทะกันของ SHA1 นั้นลดลงเหลือ 2 ^ 52 ซึ่งจะไม่นานเกินไปจนกว่าการปะทะของ SHA1 จะออกมาในป่า

สำหรับถึงวันที่ข้อมูลเกี่ยวกับฟังก์ชั่นต่างๆกัญชามีลักษณะที่สวนสัตว์ฟังก์ชันแฮช

แต่รอมีมากขึ้น

การมีฟังก์ชั่นแฮชอย่างรวดเร็วอาจเป็นการสาปแช่ง ตัวอย่างเช่นการใช้งานทั่วไปสำหรับฟังก์ชั่นแฮชคือการจัดเก็บรหัสผ่าน โดยพื้นฐานแล้วคุณคำนวณแฮชของรหัสผ่านรวมกับสตริงแบบสุ่มที่รู้จัก (เพื่อขัดขวางการโจมตีแบบสายรุ้ง) และเก็บแฮชนั้นในฐานข้อมูล

ปัญหาคือว่าถ้าผู้โจมตีได้รับการถ่ายโอนข้อมูลจากฐานข้อมูลเขาสามารถเดารหัสผ่านได้อย่างมีประสิทธิภาพโดยใช้แรงเดรัจฉาน ชุดค่าผสมทุกชุดที่เขาลองใช้นั้นใช้เวลาเพียงเสี้ยววินาทีและเขาสามารถลองใช้รหัสผ่านนับแสนครั้งต่อวินาที

ในการแก้ไขปัญหานี้สามารถใช้อัลกอริทึมbcryptได้ซึ่งได้รับการออกแบบให้ช้าดังนั้นผู้โจมตีจะช้าลงอย่างมากหากโจมตีระบบโดยใช้ bcrypt เมื่อเร็ว ๆ นี้scryptได้ทำการพาดหัวบางส่วนและถูกพิจารณาโดยบางส่วนให้มีประสิทธิภาพมากกว่า bcrypt แต่ฉันไม่รู้ถึงการใช้. net

ปรับปรุง:

เวลาเปลี่ยนไปเรามีผู้ชนะ SHA3 ฉันอยากจะแนะนำให้ใช้ผู้ชนะkeccak (aka SHA3 ) ของการประกวด SHA3

คำตอบเดิม:

เพื่อที่อ่อนแอที่สุดถึงแข็งแกร่งฉันจะพูดว่า:

1. RIPEMD BROKEN, ไม่ควรใช้อย่างที่เห็นใน pdf นี้
2. MD-5 BROKEN, ไม่ควรใช้งานสามารถใช้งานได้ใน 2 นาทีกับแล็ปท็อป
3. SHA-1 BROKEN, ไม่ควรถูกใช้งาน, ถูกทำลายในหลักการ, การโจมตีเริ่มดีขึ้นในสัปดาห์
4. อ่อนแอ SHA-2 อาจจะถูกทำลายในอีกไม่กี่ปีข้างหน้า พบจุดอ่อนเล็กน้อย โปรดทราบว่าโดยทั่วไปขนาดของคีย์ที่สูงกว่ายิ่งฟังก์ชั่นแฮชยิ่งยาก ในขณะที่ขนาดของคีย์ = ความแข็งแกร่งไม่ได้เป็นจริงเสมอไป แต่ส่วนใหญ่เป็นความจริง ดังนั้น SHA-256 น่าจะอ่อนแอกว่า SHA-512
5. เข็ดไม่พบจุดอ่อนที่รู้จักกันเป็นผู้สมัครสำหรับ SHA-3 มันค่อนข้างใหม่และยังไม่ทดลอง มันถูกนำมาใช้ในหลายภาษา
6. MD6 ไม่รู้จักความอ่อนแอเป็นอีกทางเลือกหนึ่งสำหรับ SHA-3 น่าจะแข็งแกร่งกว่า Skien แต่ช้ากว่าในเครื่องคอร์เดี่ยว เช่นเดียวกับสเกียนมันไม่ได้ทดสอบ บางการรักษาความปลอดภัยนักพัฒนาใจจะใช้มันในบทบาทภารกิจสำคัญ

โดยส่วนตัวแล้วฉันจะใช้ MD6 เพราะไม่มีใครหวาดระแวงเกินไป ถ้าความเร็วเป็นเรื่องจริงฉันจะดู Skein หรือ SHA-256

ในการป้องกันของ MD5 นั้นไม่มีทางรู้ว่าจะสร้างไฟล์ที่มีแฮช MD5 ตามอำเภอใจได้ ผู้เขียนต้นฉบับจะต้องวางแผนล่วงหน้าเพื่อให้มีการชนกันของข้อมูล ดังนั้นถ้าผู้รับเชื่อใจผู้ส่ง MD5 ก็ดี MD5 ใช้งานไม่ได้หากผู้ลงนามเป็นอันตราย แต่ไม่ทราบว่ามีความเสี่ยงที่จะถูกโจมตีจากคนกลาง

สิ่งที่คุณใช้จริง ๆ ขึ้นอยู่กับสิ่งที่คุณใช้สำหรับ หากคุณต้องการให้แน่ใจว่าไฟล์จะไม่ได้รับความเสียหายในระหว่างการขนส่งและไม่เกี่ยวข้องกับความปลอดภัยให้ดำเนินการอย่างรวดเร็วและเล็ก หากคุณต้องการลายเซ็นดิจิทัลสำหรับข้อตกลงการช่วยเหลือจากรัฐบาลกลางมูลค่าหลายพันล้านดอลลาร์และจำเป็นต้องทำให้แน่ใจว่าพวกเขาไม่ได้ถูกปลอมแปลงให้ทำการปลอมแปลงและชะลอตัว

ฉันต้องการที่จะพูดสอดใน (ก่อนที่ md5 จะถูกแยกออกจากกัน) ที่ฉันยังคงใช้ md5 อย่างกว้างขวางแม้จะมีความเสียหายอย่างท่วมท้นสำหรับ crypto จำนวนมาก

ตราบใดที่คุณไม่สนใจที่จะป้องกันการชน (คุณยังคงปลอดภัยที่จะใช้ md5 ใน hmac เช่นกัน) และคุณต้องการความเร็ว (บางครั้งคุณต้องการแฮชที่ช้ากว่า) จากนั้นคุณยังสามารถใช้ md5 ได้อย่างมั่นใจ

มันจะเป็นความคิดที่ดีที่จะดูBLAKE2 algorythm

ตามที่อธิบายไว้มันเร็วกว่า MD5 และอย่างน้อยก็ปลอดภัยเท่ากับ SHA-3 มันถูกใช้งานโดยแอพพลิเคชั่นซอฟต์แวร์ต่างๆ รวมถึง WinRar

ฉันไม่ได้เป็นผู้เชี่ยวชาญในเรื่องแบบนี้ แต่ฉันทามติกับชุมชนด้านความปลอดภัยและผู้คนจำนวนมากที่คิดว่าแฮช md5 เสีย ฉันจะบอกว่าจะใช้อันไหนขึ้นอยู่กับความละเอียดอ่อนของข้อมูลและแอพพลิเคชั่นที่เฉพาะเจาะจง คุณอาจจะสามารถหลีกเลี่ยงแฮชที่มีความปลอดภัยน้อยลงเล็กน้อยได้ตราบใดที่กุญแจนั้นดีและแข็งแรง

นี่คือคำแนะนำของฉันสำหรับคุณ:

1. คุณน่าจะลืม MD5 ได้หากคาดว่าจะมีการโจมตี มีตารางสายรุ้งจำนวนมากสำหรับพวกเขาออนไลน์และ บริษัท ต่างๆเช่น RIAA นั้นเป็นที่รู้จักกันว่าสามารถผลิตลำดับที่มีแฮชที่เท่าเทียมกัน
2. ใช้เกลือถ้าคุณสามารถ การรวมความยาวของข้อความในข้อความอาจทำให้การแฮชชนมีประโยชน์ได้ยากมาก
3. ตามกฎทั่วไปของหัวแม่มือบิตที่มากขึ้นหมายถึงการชนที่น้อยลง (โดยหลักการของ pigeonhole) และช้ากว่าและอาจปลอดภัยกว่า (เว้นแต่คุณจะเป็นอัจฉริยะทางคณิตศาสตร์ที่สามารถค้นหาจุดอ่อนได้)

ดูที่นี่สำหรับกระดาษที่ให้รายละเอียดอัลกอริทึมเพื่อสร้างการชนกันของ md5 ใน 31 วินาทีด้วยคอมพิวเตอร์เดสก์ท็อป Intel P4

http://eprint.iacr.org/2006/105