Skip to content

标题: Hash Length Extension Attack备忘

https://scz.617.cn/misc/201606161423.txt

攻击原理参看:


Hash Length extension attack https://en.wikipedia.org/wiki/Length_extension_attack

Everything you need to know about hash length extension attacks - Ron Bowes ron@skullsecurity.net [2012-09-25] https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks https://github.com/iagox86/hash_extender https://github.com/iagox86/hash_extender/archive/master.zip (C版源代码) (写得很好,推荐)

HashPump - bwall@botnet.hunter https://github.com/bwall/HashPump https://github.com/bwall/HashPump/archive/master.zip (C版源代码,有Python扩展)

Hash Length Extension attack online http://sakurity.com/lengthextension (第一个框填已知哈希值,第二个框填LEN(secret||data),第三个框填otherdata)

Hash Length Extension Attacks - Douglass Clem [2012-03-30] https://www.whitehatsec.com/blog/hash-length-extension-attacks/ http://www.freebuf.com/articles/web/31756.html (中译版) (从WWW利用角度介绍这种攻击方式)


抽象简介如下:


已知:

LEN(secret) data HASH(secret||data)

可以计算:

HASH(secret||data||padding||otherdata)

padding不是任意值,受HASH()及LEN(secret||data)限制,由于LEN(secret)、data、 已知,HASH()也已知,所以padding可以确定,细节参看Ron Bowes的文章。

otherdata是任意值。

不要求知道secret,只要求知道LEN(secret),后者可以暴力猜测。

可以攻击MD4、MD5、SHA-1、SHA-256、SHA-512,不能攻击MD2、SHA-384。

有很多办法抵御这种攻击,比如:

a. 使用HMAC算法,这个算法1996年就提出来了 b. 使用HASH(secret||HASH(secret||data)) c. 使用HASH(data||secret),而不是HASH(secret||data)