中华网络安全联盟    作者：佚名    来源：ENET    时间：2006-8-22

变换三:附加字符串干涉

　　在加密过程的一个步骤中，附加一个内容确定的字符串(比如说用户名)，干涉被加密的数据。不可以用随机字串，因为这样会使原算法无法重现。这种算法在某些情况下是很具有优势的，比如说用于大量的用户密码加密，可以把用户名作为附加干涉字串，这样攻击者就算知道你的算法，也很难从他们手中的字典中一下子生成海量的对照表，然后大量地破译用户密码，只能有针对性的穷举为数不多的用户。

　　//附加字符串在原数据的尾部
　　function md5_3_1($data, $append)
　　{
　　return md5($data.$append);
　　}
　　//附加字符串在原数据的头部
　　function md5_3_2($data, $append)
　　{
　　return md5($append.$data);
　　}
　　//附加字符串在原数据的头尾
　　function md5_3_3($data, $append)
　　{
　　return md5($append.$data.$append);
　　}
　　?>

　　变换四:大小写变换干涉

　　由于PHP所提供的md5()函数返回的密文中的英文字母全部都是小写的，因此我们可以把它们全部转为大写，然后再进行一次MD5运算。　　

　　function md5_4($data)
　　{
　　//先得到密码的密文
　　$data = md5($data);
　　//再把密文中的英文母全部转为大写
　　$data = strtotime($data);
　　//最后再进行一次MD5运算并返回
　　return md5($data);
　　}
　　?>

　　变换五:字符串次序干涉

　　把MD5运算后的密文字符串的顺序调转后，再进行一次MD5运算。　　

　　function md5_5($data)
　　{
　　//得到数据的密文
　　$data = md5($data);
　　//再把密文字符串的字符顺序调转
　　$data = strrev($data);
　　//最后再进行一次MD5运算并返回
　　return md5($data);
　　}
　　?>

　　变换六、变换七、变换八……

　　MD5变换算法是数之不尽的，甚至无须自己再去创造，就用上面的五个互相组合就可以搞出很BT的算法。比如说先循环加密后再分割，并在每一段上附加一个字符串再分别加密，然后变换大小写并颠倒字符串顺序后连成一个长字符串再进行MD5运算……

　　如果真的很不幸，由于某些漏洞，比如说SQL Injection或者文件系统中的数据库被下载而异致用户密码数据暴露，那么MD5变换算法就能大大地增加破译出密码原文的难度，首先就是使网上很多的MD5原文/密文对照数据库(要知道，这是破译MD5最高效的方法)没有用了，然后就是使攻击者用常规算法去穷举一串由变换算法得到的密文而搞得焦头烂额。当然，MD5变换算法特别适合用于非开源的Web程序使用，虽说用在开源的程序中优势会被削弱(大家都知道算法)，但是也能抑制MD5原文/密文对照数据库的作用。要进行这些复杂的变换运算，当然就要花费的更多的系统开销了，然而对于安全性要求很严格的系统来说，多付出一些来换取高一点的安全性，是完全值得的。

上一页  [1] [2]