MD5算法分析

1、 MD5是什么？

MD5即Message-Digest Algorithm 5（消息摘要算法第五版）的简称，是当前计算机领域用于确保信息传输完整一致而广泛使用的散列算法之一（又译哈希算法、摘要算法等），主流编程语言普遍已有MD5的实现。

2、 什么是散列算法？

在信息安全技术中，经常需要验证消息的完整性，散列（Hash）函数提供了这一服务，它对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出称为原输入消息的“散列”或“消息摘要”（Message digest）。

3、 散列函数的基本特性

散列函数必须具备两个基本特征：单向性和碰撞约束。

3.1、单向性是指其的操作方向的不可逆性，在散列函数中是指只能从输入推导出输出，而不能从输出计算出输入；

3.2、碰撞约束是指不能找到一个输入使其输出结果等于一个已知的输出结果 或者不能同时找到两个不同的输入使其输出结果完全一致。

一个函数只用同时严格的具备了这样的特性，我们才能认可这样的一个HASH。

4、单向性的典型运用：

4.1、密码加密

利用散列函数的单向性,我们能够实现口令，密码等安全数据的安全存储。密码等很多关键数据我们需要在数据库中存储，但是在实际运用的过程中，只是作比较操作，因此我们可以比较HASH结果。

5、碰撞约束的典型运用：

5.1、用做字典的键（可哈希）

在python内部是通过字典key的散列值来对应内存中的value地址的，所以两个相同hash的key就表示同一个了，而不可hash的对象自然也不能作为字典的key。

5.2、信息摘要和数字签名

通过对一段信息（Message）产生信息摘要（Message-Digest），以防止被篡改。比如，在UNIX下有很多软件在下载的时候都有一个文件名相同，文件扩展名为.md5的文件，在这个文件中通常只有一行文本，大致结构如：

MD5(wenjian.tar.gz)=0ca175b9c0f726a831d895e269332461

这就是wenjian.tar.gz文件的数字签名。MD5将整个文件当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个唯一的MD5信息摘要。如果在以后传播这个文件的过程中，无论文件的内容发生了任何形式的改变（包括人为修改或者下载过程中线路不稳定引起的传输错误等），只要你对这个文件重新计算MD5时就会发现信息摘要不相同，由此可以确定你得到的只是一个不正确的文件。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的"抵赖"，这就是所谓的数字签名应用。

6、MD5的弱点

MD5算法较老，散列长度固定为128比特，随着计算机运算能力提高，更快地找到“碰撞”是有可能的。因此，在安全要求高的场合不应再使用MD5。

2004年，王小云证明MD5数字签名算法可能被快速生成“碰撞”。2007年，Marc Stevens，Arjen K. Lenstra和Benne de Weger进一步指出通过伪造软件签名，可重复性攻击MD5算法。研究者使用前缀碰撞法（chosen-prefix collision），使程序前端包含恶意程序，利用后面的空间添上垃圾代码凑出同样的MD5散列值。

2007年，荷兰埃因霍芬技术大学科学家成功把2个可执行文件进行了MD5碰撞，使得这两个运行结果不同的程序会被计算出同一个MD5值。2008年12月一组科研人员通过MD5碰撞成功生成了伪造的SSL证书，这使得在https协议中服务器可以伪造一些根CA的签名。