已知盐时解密 MD5 散列文本

Question

假设我有以下 MD5 哈希密码：

bec0932119f0b0dd192c3bb5e5984eec

如果我知道原始密码经过加盐和散列处理，并且知道它不是典型的加盐，而是在 MD5 求和之前被包裹在“标志{}”中。

在这种情况下我该如何解密 MD5？

Answer 1

另一个答案在您尝试的定义中不正确。让我们从加密哈希函数所需电阻的正式定义开始。以下来自 P. Rogaway 和 T. Shrimpton 的Cryptographic Hash-Function Basics: Definitions, Implications, and Separations for Preimage Resistance, Second-Preimage Resistance, and Collision Resistance；

• preimage-resistance — 对于基本上所有预先指定的输出，在计算上找到任何散列到该输出的输入是不可行的，即找到任何原像 x' 使得 h(x') = y 在给定任何y 对应的输入未知。
• 2nd-preimage resistance，weak-collision——在计算上找到与任何指定输入具有相同输出的任何第二个输入是不可行的，即给定x，找到第二个原像@987654333 @ 这样h(x) = h(x')。
• 抗碰撞，强碰撞——在计算上不可能找到任何两个不同的输入x、x'，它们哈希到相同的输出，即h(x) = h(x')。

冲突和密码破解不相关。实际上，您正试图找到一个与给定哈希值和盐一起工作的原像。在 MD5 n=128 的情况下，通用原像攻击的成本是 O(2^n)，即 O(2^128)。 MD5 上存在比泛型更好的原像攻击，代价为2^123.4

• Finding Preimages in Full MD5 Faster Than Exhaustive Search

  这种攻击仍然超出了所有人的搜索范围（QC 除外，这是另一回事）。即使是supercomputers or the collaborative power of the bitcoin miners。

如上所述，MD5 不再具有加密安全性，因为它的抗碰撞能力被破坏了，即使是SHA-1 is no longer secure。

hashing is not encryption/decryption。这真的是一个很长的故事，这里有个简短的回答，加密是可逆的，但哈希不是（考虑鸽巢原理，看看单向函数）[小注block cipher mode of operation like the CTR mode doesn't requires a PRP it can work with PRF，它就是这样设计的]...

你能做什么？

• 首先，使用John the Ripper password cracker。

  如果没有找到，那么

• 根据您的预算在一定限度内对 MD5 构建快速的原像攻击。 hashcat 是一个非常强大的工具，您可以从中受益来构建它。这里是 hashcat 的表现；

  hashcat with Nvidia RTX 3090 可以搜索65322.5 MH/s（百万哈希/秒）。那是2^16 MH/s。计算——时间、设备成本、电费——可以根据已知的目标搜索空间来完成。

Answer 2

MD5是一个哈希函数，你不能真正解密结果（请搜索哈希和解密的区别）。

但是 - 您可能会尝试找到冲突 - 输入给出相同的哈希值。它有一定的概率会匹配原始输入。加密哈希函数被设计成很难（不可行）找到冲突，但是对于 MD5 来说它不再有效（这就是为什么 MD5 被认为不安全使用）

您可以查看资源Vlastimil Klima: Tunnels in Hash Functions: MD5 Collisions Within a Minute，还有更多与最新隧道攻击相关的参考资料和工具。