深入理解MD5：Message Digest Algorithm 5

---

title: 深入理解MD5：Message Digest Algorithm 5
date: 2024/4/21 18:10:18
updated: 2024/4/21 18:10:18
tags:

• MD5
• 雜湊函式
• 密碼學
• 資料完整性
• 碰撞攻擊
• 安全性
• 替代演算法

---

導論

MD5的背景和歷史

MD5（Message Digest Algorithm 5）是一種廣泛使用的雜湊函式，用於產生128位（16位元組）的雜湊值，通常以32個十六進位制數字表示。它由Ronald Rivest於1991年設計，並在RFC 1321中進行了描述。

MD5的設計目的是為了提供資料完整性驗證和訊息認證。它被廣泛應用於數字簽名、訊息認證碼（MAC）、密碼學雜湊函式等領域。在早期，MD5曾被廣泛用於密碼儲存、數字證書、軟體完整性驗證等方面。

MD5的應用領域

1. 密碼學：MD5常用於密碼儲存，透過將使用者密碼的MD5雜湊值儲存在資料庫中，而不是明文密碼，以增加安全性。然而，由於MD5存在安全性問題，現已被更安全的雜湊函式如SHA-256所取代。
2. 資料完整性驗證：MD5可用於驗證檔案的完整性，透過比較檔案的MD5雜湊值，確保檔案在傳輸或儲存過程中未被篡改。
3. 數字簽名：在一些早期的應用中，MD5曾用於生成數字簽名，用於驗證檔案的來源和完整性。然而，由於MD5的碰撞攻擊，這種用法已經不再安全。
4. 訊息認證碼（MAC） ：MD5可以用於生成訊息認證碼，用於驗證訊息的完整性和來源。

MD5的特點和安全性問題

1. 快速計算：MD5的計算速度相對較快，適用於對大量資料進行雜湊計算。

2. 固定長度輸出：MD5生成的雜湊值長度固定為128位，無論輸入資料的長度如何，始終生成相同長度的雜湊值。

3. 安全性問題：然而，MD5在安全性上存在嚴重問題，主要表現在以下幾個方面：

   • 碰撞攻擊：MD5已經被證明存在碰撞攻擊，即找到兩個不同的輸入，但生成相同的MD5雜湊值。這種情況下，攻擊者可以偽造數字簽名或透過篡改資料而不改變雜湊值來繞過完整性檢查。
   • 預圖攻擊：MD5也容易受到預圖攻擊，即透過已知的輸入和輸出對來推匯出其他輸入的雜湊值。
   • 彩虹表攻擊：MD5雜湊值的空間相對較小，容易受到彩虹表攻擊，即透過事先計算好的雜湊值與明文的對應關係表，從而快速破解密碼。

由於MD5的安全性問題，現在已經不再建議將其用於安全敏感的應用中，而應該選擇更安全的雜湊函式如SHA-256等。

MD5演算法原理

MD5演算法的概述

MD5（Message Digest Algorithm 5）是一種雜湊函式，用於生成128位（16位元組）的雜湊值。其設計目的是為了提供資料完整性驗證和訊息認證。MD5演算法將任意長度的輸入資料轉換為固定長度的128位雜湊值，且輸出的雜湊值在理想情況下是唯一的。

MD5演算法的流程和步驟

MD5演算法的流程主要包括以下步驟：

1. 填充資料：將輸入資料進行填充，使其長度滿足512位（64位元組）的倍數，通常採用的填充方式是在資料末尾新增一個1和若干個0，以及資料長度的二進位制表示。
2. 初始化變數：初始化四個32位的暫存器A、B、C、D，這些暫存器用於儲存中間計算結果。
3. 分塊處理：將填充後的資料按照512位（64位元組）一塊進行處理，每塊包含16個32位字。
4. 迴圈壓縮函式處理：對每個512位的資料塊進行四輪迴圈壓縮函式處理，每輪處理包括四個步驟：F函式、G函式、H函式和I函式。
5. 更新暫存器：根據每輪的計算結果更新暫存器A、B、C、D的值。
6. 生成雜湊值：經過所有資料塊的處理後，將四個暫存器的值連線起來，按照A、B、C、D的順序將每個暫存器的值轉換為16進製表示，即得到128位的MD5雜湊值。

MD5演算法中使用的運算函式

MD5演算法中使用了四個非線性函式，分別為F、G、H、I函式，這些函式在迴圈壓縮函式處理中起著重要作用：

1. F函式： F函式採用的是邏輯與（AND）、邏輯或（OR）、邏輯非（NOT）和異或（XOR）操作，用於混淆資料塊中的資料。
2. G函式： G函式也是採用與F函式類似的操作，用於進一步混淆資料塊中的資料。
3. H函式： H函式同樣採用邏輯與、邏輯或和異或操作，用於增加資料塊的複雜性。
4. I函式： I函式也是一種非線性函式，用於增加資料塊的隨機性，增強MD5演算法的安全性。

這些運算函式的設計使得MD5演算法具有較好的擴散性和抗碰撞能力，但由於現代計算能力的提升和MD5演算法本身的設計缺陷，使得MD5演算法已經不再安全。

MD5演算法細節

訊息填充和處理

在MD5演算法中，訊息填充的目的是將輸入資料填充至512位（64位元組）的倍數，並在資料末尾新增一個長度資訊。填充的具體步驟如下：

1. 首先將資料長度表示為二進位制形式，並附加到資料的末尾。
2. 在資料末尾新增一個'1'位元，然後填充0直到資料長度滿足對512取模的結果為448（即資料長度模512等於448）。
3. 將資料長度（64位）附加到填充後的資料末尾，以二進位制表示。

迴圈函式和常量

MD5演算法中使用了四個迴圈函式（F、G、H、I）和64個常量。這些函式和常量是在迴圈壓縮函式處理過程中使用的。迴圈壓縮函式中的每一輪都會使用不同的常量和迴圈函式。

1. F函式：F函式採用了非線性函式\(𝐹(𝑋,𝑌,𝑍)=(𝑋∧𝑌)∨(¬𝑋∧𝑍)\)。
2. G函式：G函式採用了非線性函式\(𝐺(𝑋,𝑌,𝑍)=(𝑋∧𝑍)∨(𝑌∧¬𝑍)\)。
3. H函式：H函式採用了非線性函式\(𝐻(𝑋,𝑌,𝑍)=𝑋⊕𝑌⊕𝑍\)。
4. I函式：I函式採用了非線性函式\(𝐼(𝑋,𝑌,𝑍)=𝑌⊕(𝑋∨¬𝑍)\)。

在MD5演算法中，每輪迴圈使用的常量是透過對2^32的整數部分取絕對值後的正弦函式計算得到的。這些常量用於增加演算法的非線性性質和擴散性。

訊息分組和處理流程

MD5演算法將輸入資料按512位（64位元組）分組，並對每個512位資料塊進行處理。處理流程如下：

1. 初始化暫存器：將四個32位暫存器（A、B、C、D）初始化為特定的常量值。
2. 分組處理：將填充後的資料分成若干個512位的資料塊，對每個資料塊進行迴圈壓縮函式處理。
3. 迴圈壓縮函式處理：對每個資料塊進行四輪迴圈處理，每輪處理包括16次操作。在每一輪中，使用一個常量和一個訊息塊的子分組作為輸入，並對暫存器進行更新。
4. 更新暫存器：每輪處理後，根據計算結果更新暫存器的值。
5. 生成雜湊值：經過所有資料塊的處理後，將四個暫存器的值連線起來，並將每個暫存器的值轉換為16進製表示，即得到128位的MD5雜湊值。

這樣，MD5演算法透過一系列的資料處理步驟，將任意長度的輸入資料轉換為128位的雜湊值，以實現資料的完整性驗證和訊息認證。

MD5碰撞攻擊

原理

MD5碰撞攻擊的原理基於MD5演算法的弱點，主要包括以下兩點：

1. 碰撞攻擊的原理：MD5演算法的輸出空間遠遠小於輸入空間，這導致了可能性的碰撞。MD5演算法的輸出長度是128位，因此存在著不同的輸入會產生相同的輸出（雜湊碰撞）。攻擊者利用這一特性，透過精心構造的兩個不同的輸入資料，使得它們的MD5雜湊值相同，即產生了碰撞。
2. 雜湊碰撞的搜尋：MD5演算法的設計存在缺陷，使得尋找碰撞不需要遍歷所有可能的輸入組合。攻擊者可以利用已知的碰撞片段，透過巧妙的方式生成具有相同雜湊值的兩個不同輸入。這通常涉及對MD5演算法的內部結構和碰撞尋找技術的深入理解。

例項分析

經典的MD5碰撞攻擊例項是2004年Wang等人發表的《Finding Collisions in the Full SHA-1》。在這項研究中，他們展示瞭如何在SHA-1演算法上實現碰撞攻擊，並利用類似的技術攻擊了MD5。他們使用了巧妙的演算法和大量計算資源，成功地生成了兩個具有相同MD5雜湊值的不同輸入。

針對MD5碰撞攻擊的防範措施

儘管MD5演算法已經被廣泛認為不安全，並且不建議在安全敏感的場景中使用，但在實際應用中，有時仍然需要對其進行防範。以下是一些針對MD5碰撞攻擊的防範措施：

1. 停止使用MD5：首先，避免在安全相關的應用中使用MD5演算法。應當選擇更安全的雜湊演算法，如SHA-256或SHA-3。
2. 使用鹽值：對於需要使用MD5的場景，應當使用鹽值（salt）來增加雜湊的隨機性。鹽值是一個隨機的字串，與原始資料一起進行雜湊運算，可以有效防止彩虹表攻擊。
3. 使用訊息認證碼（MAC） ：對於需要資料完整性保護的場景，應當使用訊息認證碼（MAC）來代替簡單的雜湊演算法。MAC結合了雜湊函式和金鑰，提供了更高階別的安全保護。
4. 更新演算法：如果無法立即停止使用MD5，至少應當對現有系統進行更新，以使用更安全的雜湊演算法。

總的來說，MD5碰撞攻擊已經被廣泛認為是不安全的，應當儘可能避免在安全敏感的場景中使用MD5演算法，並採取必要的防範措施以保護資料安全。

MD5在實際應用中的使用

資料完整性校驗

MD5常被用於資料完整性校驗，特別是在檔案傳輸過程中。傳送方計算檔案的MD5雜湊值，並將其與接收方計算的雜湊值進行比較，以確保檔案在傳輸過程中未被篡改。雖然MD5在這種場景下被廣泛使用，但由於其碰撞攻擊的漏洞，已經不再是最佳選擇。

import hashlib

def calculate_md5(file_path):
    with open(file_path, 'rb') as f:
        content = f.read()
        md5_hash = hashlib.md5(content).hexdigest()
    return md5_hash

# 計算檔案的MD5雜湊值
file_path = 'example_file.txt'
md5_hash = calculate_md5(file_path)
print("MD5雜湊值:", md5_hash)

密碼儲存和驗證

在過去，MD5常被用於密碼儲存，通常是在資料庫中儲存使用者密碼的雜湊值。然而，由於MD5容易受到碰撞攻擊，現在不再推薦將其用於密碼儲存。推薦使用更安全的雜湊演算法，如bcrypt或Argon2。

import hashlib

def hash_password(password):
    # 新增鹽值
    salted_password = password + 'mysalt'
    hashed_password = hashlib.md5(salted_password.encode()).hexdigest()
    return hashed_password

def verify_password(input_password, stored_password):
    return hash_password(input_password) == stored_password

# 儲存密碼
password = 'mypassword'
hashed_password = hash_password(password)

# 驗證密碼
input_password = 'mypassword'
if verify_password(input_password, hashed_password):
    print("密碼正確")
else:
    print("密碼錯誤")

數字簽名和認證

MD5也曾經被用於數字簽名和認證，用於驗證資料的完整性和真實性。然而，由於其安全性問題，現在不再建議在這種敏感場景中使用MD5演算法。

在實踐中，應使用更安全的雜湊演算法，如SHA-256或SHA-3，以確保數字簽名和認證的安全性。

import hashlib

def create_signature(data):
    hashed_data = hashlib.sha256(data.encode()).hexdigest()
    return hashed_data

# 建立數字簽名
data = 'important_data'
signature = create_signature(data)
print("數字簽名:", signature)

總的來說，儘管MD5在過去被廣泛使用，但現在由於其安全性問題，應儘可能避免在敏感場景中使用，並選擇更安全的替代方案。

MD5的替代演算法

SHA系列演算法

SHA（安全雜湊演算法）系列是MD5的替代方案，提供了更高的安全性。SHA-1、SHA-256、SHA-384和SHA-512是其中最常見的幾種。

1. SHA-1 (Secure Hash Algorithm 1) : SHA-1是MD5的後繼者，擁有160位的雜湊值，通常用於數字簽名和證書中。
2. SHA-256 (Secure Hash Algorithm 256) : SHA-256產生256位的雜湊值，比SHA-1更安全，常用於資料完整性驗證、密碼儲存和數字簽名。
3. SHA-384 (Secure Hash Algorithm 384) : SHA-384生成384位的雜湊值，適用於安全性要求較高的場景，如金融和政府領域。
4. SHA-512 (Secure Hash Algorithm 512) : SHA-512生成512位的雜湊值，提供更高的安全性，適用於對安全性要求極高的應用。

import hashlib

def sha256_hash(data):
    hashed_data = hashlib.sha256(data.encode()).hexdigest()
    return hashed_data

# 使用SHA-256雜湊演算法
data = 'important_data'
sha256_hashed_data = sha256_hash(data)
print("SHA-256雜湊值:", sha256_hashed_data)

新興的雜湊演算法

除了SHA系列演算法外，還有一些新興的雜湊演算法在不斷髮展和應用中，其中一些包括：

1. BLAKE2: BLAKE2是一種高速、安全的雜湊函式，具有與MD5和SHA-3相似的速度，但提供了更高的安全性。它適用於資料完整性校驗、密碼儲存等場景。

from hashlib import blake2b

def blake2_hash(data):
    h = blake2b(data.encode(), digest_size=32)
    return h.hexdigest()

# 使用BLAKE2雜湊演算法
data = 'important_data'
blake2_hashed_data = blake2_hash(data)
print("BLAKE2雜湊值:", blake2_hashed_data)

安全性更高的替代方案

除了雜湊演算法外，對於特別安全性要求高的場景，可以考慮使用加密雜湊函式或密碼雜湊函式，如bcrypt和Argon2。這些演算法不僅提供了雜湊功能，還包含了額外的安全機制，如隨機鹽和迭代次數，以抵禦暴力破解和彩虹表攻擊。

import bcrypt

def bcrypt_hash_password(password):
    hashed_password = bcrypt.hashpw(password.encode(), bcrypt.gensalt())
    return hashed_password

def bcrypt_verify_password(input_password, hashed_password):
    return bcrypt.checkpw(input_password.encode(), hashed_password)

# 使用bcrypt雜湊演算法儲存和驗證密碼
password = 'mypassword'
hashed_password = bcrypt_hash_password(password)

input_password = 'mypassword'
if bcrypt_verify_password(input_password, hashed_password):
    print("密碼正確")
else:
    print("密碼錯誤")

總的來說，選擇雜湊演算法應根據具體應用場景和安全需求，對於不同的需求，可以選擇適合的替代方案以提高安全性。

MD5的未來發展

MD5在密碼學中的地位

MD5（Message Digest Algorithm 5）是一種廣泛使用的雜湊演算法，但它在密碼學中的地位已經逐漸下降。原因在於MD5存在嚴重的安全漏洞，易受到碰撞攻擊和預圖攻擊的影響。因此，在安全性要求較高的領域，如密碼儲存和數字簽名，不推薦使用MD5。

MD5的安全性評估

MD5的安全性已經受到廣泛的評估，並被證明是不安全的。主要的安全問題包括：

1. 碰撞攻擊：MD5已經被證明容易受到碰撞攻擊，即找到兩個不同的輸入產生相同的雜湊值，這會對資料完整性和身份驗證造成嚴重威脅。
2. 預圖攻擊：MD5也容易受到預圖攻擊，攻擊者可以根據已知的雜湊值推匯出對應的輸入，這使得MD5不適合用於密碼儲存等安全敏感場景。

MD5的未來走向和發展趨勢

考慮到MD5存在的嚴重安全問題，它的未來走向主要集中在以下幾個方面：

1. 淘汰和替代：由於MD5的安全性已經受到廣泛認可，大多數安全專家和組織已經不再推薦使用MD5。取而代之的是更安全的雜湊演算法，如SHA-256、SHA-3等。
2. 後續研究：儘管MD5不再被視為安全的雜湊演算法，但仍然有一些研究人員致力於分析MD5的碰撞攻擊和預圖攻擊，以深入理解其安全性漏洞，並從中得出更深層次的密碼學洞見。
3. 歷史價值：儘管MD5不再適用於安全敏感的應用，但它仍然具有一定的歷史價值，可以用於非安全性要求且對速度要求較高的場景，如資料完整性校驗和非關鍵性資料的雜湊。

總的來說，MD5已經逐漸被淘汰，未來的發展趨勢主要集中在其替代方案的研究和應用上，以提高密碼學的安全性和可靠性。

附錄

MD5線上加密 | 一個覆蓋廣泛主題工具的高效線上平臺(amd794.com)
https://amd794.com/md5

MD5演算法的虛擬碼實現

以下是MD5演算法的簡化虛擬碼實現：

初始化變數：
A = 0x67452301
B = 0xEFCDAB89
C = 0x98BADCFE
D = 0x10325476

對訊息進行填充和長度擴充套件：
padding 訊息 M 使其長度 (bits) 為 448 mod 512
在訊息末尾新增一個 1，然後新增足夠的 0，直到訊息長度為 64 bits 不足 512 bits 的倍數
在訊息末尾新增 64 bits 表示訊息長度（原始長度）

對填充後的訊息進行處理：
將訊息分為512位的塊，並對每個塊執行以下操作：
    將當前塊分為16個32位字
    初始化四個32位暫存器：A，B，C，D

    主迴圈：
    對每個訊息塊進行64輪迭代處理：
        根據當前輪數選擇不同的F函式、索引值和位移數
        更新暫存器A，B，C，D的值

    更新最終雜湊值：
    將最終的A，B，C，D暫存器值連線成一個128位雜湊值

返回雜湊值

MD5演算法的Python實現示例

下面是一個簡單的Python示例，展示瞭如何使用Python實現MD5演算法：

import hashlib

def calculate_md5(message):
    hash_object = hashlib.md5(message.encode())
    md5_hash = hash_object.hexdigest()
    return md5_hash

# 示例用法
message = "Hello, MD5!"
md5_hash = calculate_md5(message)
print("MD5 雜湊值:", md5_hash)

MD5演算法的安全性分析

MD5演算法存在嚴重的安全漏洞，主要包括碰撞攻擊和預圖攻擊。這些安全漏洞已經被廣泛研究和驗證，並且已經有實際攻擊案例。

碰撞攻擊是指找到兩個不同的輸入訊息，但它們經過MD5雜湊後產生相同的雜湊值。這使得攻擊者可以偽造具有相同雜湊值的訊息，這對於數字簽名和身份驗證等場景具有嚴重的安全威脅。

預圖攻擊是指根據已知的MD5雜湊值，推匯出與之對應的原始訊息。雖然這種攻擊比碰撞攻擊更困難，但仍然是MD5演算法的一個安全漏洞，特別是在密碼破解等場景下可能被利用。

綜上所述，MD5演算法的安全性已經受到廣泛質疑，並且不再適合用於安全敏感的應用程式。因此，建議使用更安全的雜湊演算法，如SHA-256、SHA-3等。