.NET Framework поставляється з 6 різними алгоритмами хешування:

• MD5: 16 байт (час хешування 500 МБ: 1462 мс)
• SHA-1: 20 байт (1644 мс)
• SHA256: 32 байти (5618 мс)
• SHA384: 48 байт (3839 мс)
• SHA512: 64 байти (3820 мс)
• RIPEMD: 20 байт (7066 мс)

Кожна з цих функцій виконує по-різному; MD5 є найшвидшим, а RIPEMD - найповільнішим.

MD5 має ту перевагу, що він вписується у вбудований тип Guid; і це основа типу 3 UUID . Хеш SHA-1 є основою UUID типу 5. Що робить їх дійсно простими у використанні для ідентифікації.

Однак MD5 вразливий до атак зіткнення , SHA-1 також вразливий, але меншою мірою.

За яких умов я повинен використовувати алгоритм хешування?

Особливі запитання, на які мені дуже цікаво відповісти:

• Не можна довіряти MD5? У звичайних ситуаціях, коли ви використовуєте алгоритм MD5 без шкідливих намірів, і жодна сторона не має жодного зловмисного наміру, ви очікуєте будь-яких зіткнень (мається на увазі два довільні байти [], що створюють один і той же хеш)

• Наскільки краще RIPEMD, ніж SHA1? (якщо вона краща) її в 5 разів повільніше для обчислення, але розмір хеша такий же, як і SHA1.

• Які шанси отримати нешкідливі зіткнення під час хешування імен файлів (або інших коротких рядків)? (Наприклад, 2 випадкові імена файлів з однаковим хешем MD5) (з MD5 / SHA1 / SHA2xx) Взагалі, які шанси на нешкідливі зіткнення?

Це тест, який я використав:

    static void TimeAction(string description, int iterations, Action func) {
        var watch = new Stopwatch();
        watch.Start();
        for (int i = 0; i < iterations; i++) {
            func();
        }
        watch.Stop();
        Console.Write(description);
        Console.WriteLine(" Time Elapsed {0} ms", watch.ElapsedMilliseconds);
    }

    static byte[] GetRandomBytes(int count) {
        var bytes = new byte[count];
        (new Random()).NextBytes(bytes);
        return bytes;
    }


    static void Main(string[] args) {

        var md5 = new MD5CryptoServiceProvider();
        var sha1 = new SHA1CryptoServiceProvider();
        var sha256 = new SHA256CryptoServiceProvider();
        var sha384 = new SHA384CryptoServiceProvider();
        var sha512 = new SHA512CryptoServiceProvider();
        var ripemd160 = new RIPEMD160Managed();

        var source = GetRandomBytes(1000 * 1024);

        var algorithms = new Dictionary<string,HashAlgorithm>();
        algorithms["md5"] = md5;
        algorithms["sha1"] = sha1;
        algorithms["sha256"] = sha256;
        algorithms["sha384"] = sha384;
        algorithms["sha512"] = sha512;
        algorithms["ripemd160"] = ripemd160;

        foreach (var pair in algorithms) {
            Console.WriteLine("Hash Length for {0} is {1}", 
                pair.Key, 
                pair.Value.ComputeHash(source).Length);
        }

        foreach (var pair in algorithms) {
            TimeAction(pair.Key + " calculation", 500, () =>
            {
                pair.Value.ComputeHash(source);
            });
        }

        Console.ReadKey();
    }

У криптографії хеш-функції забезпечують три окремі функції.

1. Опір зіткненням : як важко комусь знайти два повідомлення ( будь-які два повідомлення), які мають однакові хеши.
2. Опір попереднього зображення : Дано хеш, наскільки важко знайти ще одне повідомлення, яке хеширує те саме? Також відомий як одностороння хеш-функція .
3. Опір попереднього зображення : надавши повідомлення, знайдіть інше повідомлення, яке має те ж саме.

Ці властивості пов'язані, але незалежні. Наприклад, опір зіткнення передбачає другий опір попереднього зображення, але не навпаки. Для будь-якого додатка у вас будуть різні вимоги, потребуючи однієї або декількох з цих властивостей. Хеш-функція для захисту паролів на сервері зазвичай вимагає лише попереднього опору, тоді як для дайджестів повідомлень потрібні всі три.

Було показано, що MD5 не є стійким до зіткнення, але це не виключає його використання в додатках, які не потребують стійкості до зіткнення. Дійсно, MD5 все ще використовується в додатках, де вигідні менший розмір клавіш та швидкість. Зважаючи на це, через свої недоліки дослідники рекомендують використовувати інші хеш-функції в нових сценаріях.

У SHA1 є недолік, який дозволяє зіткнути теоретично набагато менше, ніж 2 ^ 80 кроків, необхідних для безпечної хеш-функції його довжини. Атака постійно переглядається і в даний час може бути здійснена в ~ 2 ^ 63 кроки - лише в межах поточної сфери обчислень. З цієї причини NIST припиняє використання SHA1, заявляючи, що сімейство SHA2 слід використовувати після 2010 року.

SHA2 - це нове сімейство хеш-функцій, створене після SHA1. Наразі невідомі напади на функції SHA2. SHA256, 384 та 512 - це частина сімейства SHA2, просто використовуючи різну довжину ключів.

RIPEMD Я не можу занадто багато коментувати, за винятком зазначення, що це не так часто використовується, як сімейства SHA, і тому дослідники криптографічних досліджень не були ретельно вивчені. Саме тому я рекомендував би використовувати функції SHA над ним. У використанні, яке ви використовуєте, це здається досить повільним, що робить його менш корисним.

На закінчення, немає жодної найкращої функції - все залежить від того, для чого вона вам потрібна. Пам’ятайте про недоліки кожного з них, і ви зможете найкраще вибрати правильний хеш-функцію для свого сценарію.

Усі хеш-функції "зламані"

Принцип закуток каже , що спробувати так складно , як ви не можете відповідати більш 2 голубів в 2 -х отворів (якщо не вирізати голубів вгору). Так само ви не можете помістити 2 ^ 128 + 1 числа в 2 ^ 128 слотів. Усі хеш-функції призводять до хеша кінцевого розміру, це означає, що ви завжди зможете знайти зіткнення, якщо провести пошук через "послідовність обмеженого розміру" + 1. Це просто неможливо зробити. Не для MD5 і не для Skein .

MD5 / SHA1 / Sha2xx не мають шансів зіткнутись

Усі хеш-функції мають зіткнення, це факт життя. Випадкові ці зіткнення випадково є рівнозначним виграшу міжгалактичної лотереї . Тобто, міжгалактична лотерея ніхто не виграє , це просто не те, як працює лотерея. Ви не зіткнетеся з випадковим хешем MD5 / SHA1 / SHA2XXX, ВСІХ. Кожне слово в кожному словнику, в кожній мові має різну цінність. Кожна назва шляху, на кожній машині всієї планети має різний хеш MD5 / SHA1 / SHA2XXX. Як я це знаю, ви можете запитати. Ну, як я вже говорив раніше, ніхто не виграє міжгалактичну лотерею.

Але ... MD5 зламаний

Іноді те, що її зламано, не має значення .

На даний момент немає відомих попередніх зображень або атак попереднього зображення на MD5.

Отже, що так порушено у MD5, можете запитати? Третя сторона може генерувати 2 повідомлення, одне з яких EVIL, а інше - ДОБРЕ, що обидва хешують однакове значення. ( Атака зіткнення )

Тим не менш, поточна рекомендація RSA не використовувати MD5, якщо вам потрібен попередній опір зображення. Люди схильні помилятися на стороні обережності, коли мова йде про алгоритми безпеки.

Отже, яку функцію хешу я повинен використовувати в .NET?

• Використовуйте MD5, якщо вам потрібна швидкість / розмір, і вам не байдуже до атак на день народження або попередніх атак.

Повторіть це після мене, випадкових зіткнень MD5 немає , шкідливі зіткнення можуть бути ретельно розроблені. Незважаючи на те, що на сьогоднішній день на MD5 невідомі напади попередніх зображень, на думку експертів із безпеки, MD5 не слід застосовувати там, де потрібно захищатись від попередніх атак. SAME іде для SHA1 .

Майте на увазі, що не всі алгоритми повинні захищатись від попередніх зображень або атак зіткнення. Візьміть тривіальний випадок пошуку першого пропуску дублікатів файлів на вашому HD.

• Використовуйте функцію на основі SHA2XX, якщо ви хочете криптографічно захищену хеш-функцію.

Ніхто ніколи не виявив жодного зіткнення SHA512. ВСЕ. Вони дуже старалися. З цього приводу ніхто ніколи не виявив зіткнення SHA256 або 384. .

• Не використовуйте SHA1 або RIPEMD, якщо це не для сценарію сумісності.

RIPMED не отримав такої ж кількості перевірок, яку отримали SHAX та MD5. І SHA1, і RIPEMD вразливі до нападів дня народження. Вони обидва повільніші, ніж MD5 в .NET, і мають незручний розмір у 20 байт. Безглуздо використовувати ці функції, забудьте про них.

Атаки зіткнення SHA1 знижуються до рівня 2 ^ 52, але це не буде занадто довго, поки зіткнення SHA1 не вийдуть на природу.

Для отримання актуальної інформації про різні хеш-функції дивіться зоопарк хеш-функцій .

Але чекайте, є більше

Бути швидким хеш-функцією може бути прокляттям. Наприклад: дуже поширене використання хеш-функцій - це зберігання паролів. По суті, ви обчислюєте хеш пароля в поєднанні з відомою випадковою рядком (щоб унеможливити напади веселки) і зберігаєте цей хеш у базі даних.

Проблема полягає в тому, що якщо зловмисник отримує дамп бази даних, він може досить ефективно відгадувати паролі, використовуючи грубу силу. Кожна комбінація, яку він намагається, займає лише частку мілісекунди, і він може випробувати сотні тисяч паролів в секунду.

Щоб вирішити цю проблему, алгоритм bcrypt може бути використаний, він розроблений повільно, тому зловмисник буде сильно сповільнений, якщо атакує систему, що використовує bcrypt. Нещодавно scrypt склав деякий заголовок, а деякі вважають його більш ефективним, ніж bcrypt, але я не знаю про реалізацію .Net.

Оновлення:

Часи змінилися, у нас є переможець SHA3. Я б рекомендував використовувати переможця конкурсу SHA3 ​​keccak (він же SHA3 ).

Оригінальний відповідь:

Для найслабшого до найсильнішого я б сказав:

1. RIPEMD BROKEN, Ніколи не повинен використовуватися, як це видно в цьому PDF-файлі
2. MD-5 BROKEN, Ніколи не використовуватися, може бути зламаний за 2 хвилини з ноутбуком
3. SHA-1 BROKEN, Ніколи не застосовується, він руйнується в принципі, атаки стають кращими з тижня
4. SHA-2 слабкий, ймовірно, буде порушено в найближчі кілька років. Виявлено кілька слабких місць. Зауважте, що чим більше розмір клавіш, тим важче зламати хеш-функцію. Хоча розмір ключа = сила не завжди відповідає дійсності, він здебільшого відповідає дійсності. Тож SHA-256, ймовірно, слабший, ніж SHA-512.
5. Скейн НЕ ЗНАЄТЬСЯ СЛАБІСТЬ, є кандидатом на SHA-3 . Він досить новий і, таким чином, не перевірений. Він реалізований на купі мов.
6. MD6 НЕ ЗНАЄТЬСЯ СЛАБІСТЬ, є ще одним кандидатом на SHA-3. Можливо, сильніше, ніж Скіен, але повільніше на одноядерних машинах. Як і Скіен, це неперевірено. Деякі розробники, орієнтовані на безпеку, використовують його у вирішальних ролях місії .

Особисто я б користувався MD6, тому що ніхто ніколи не може бути занадто параноїчним. Якщо швидкість викликає справжнє занепокоєння, я б подивився на Скейна, або на SHA-256.

На захист MD5 невідомий спосіб створення файлу з довільним хешем MD5. Оригінальний автор повинен заздалегідь спланувати робоче зіткнення. Таким чином, якщо одержувач довіряє відправнику, MD5 добре. MD5 порушується, якщо підписант зловмисний, але невідомо, що він може бути вразливим до атак людини в середині.

Який з них ви дійсно використовуєте, залежить від того, для чого ви його використовуєте. Якщо ви просто хочете переконатися, що файли під час транспортування не пошкоджуються і не турбуються про безпеку, перейдіть до швидкої та малої. Якщо вам потрібні цифрові підписи для багатомільярдних угод про федеральну допомогу, і вам потрібно переконатися, що вони не підроблені, ідіть на жорсткі підробки та повільно.

Я хотів би задзвонити (до того, як md5 розірветься), що я все-таки широко використовую md5, незважаючи на його непосильну ламкість для багатьох криптовалют.

Поки ви не переймаєтеся захистом від зіткнень (ви все ще безпечні для використання md5 в hmac), і ви хочете швидкості (іноді хочете повільніший хеш), тоді ви все одно можете використовувати md5 впевнено.

Було б гарною ідеєю поглянути на алгоритм BLAKE2 .

Як описано, він швидший, ніж MD5 і принаймні настільки ж безпечний, як SHA-3. Він також реалізований декількома програмними програмами , включаючи WinRar.

Я не є експертом у цій справі, але я не відстаю від спільноти безпеки, і багато людей там вважають хеш md5 зламаним. Я б сказав, що той, який використовувати, залежить від того, наскільки чутливі дані та конкретний додаток. Можливо, вам вдасться уникнути трохи менш захищеного хешу, якщо ключ хороший і міцний.

Ось мої пропозиції для вас:

1. Ймовірно, ви повинні забути MD5, якщо передбачите напади. В Інтернеті існує безліч таблиць веселок для них, і такі корпорації як RIAA, як відомо, змогли створювати послідовності з аналогічними хешами.
2. Використовуйте сіль, якщо можете. Включення довжини повідомлення в повідомлення може зробити дуже важко зробити корисне хеш-зіткнення.
3. Як правило, більша кількість бітів означає менше зіткнень (за принципом голубої дуги) і повільніше, а може бути і більш безпечно (якщо ви не геній математики, який може знайти вразливості).

Дивіться тут документ, в якому детально описується алгоритм для створення зіткнень md5 за 31 секунду з настільним комп'ютером Intel P4.

http://eprint.iacr.org/2006/105