Как зашифровать и засолить пароль, используя BouncyCastle API в Java?
Я довольно новичок в криптографии, и я использую BouncyCasetle API зашифровать пароль и сохранить его в базе данных. Для шифрования я использую SHA-1 алгоритм и я хочу подсолить пароль, чтобы предотвратить повторные атаки по словарю.
Любая помощь будет оценена.
2 ответа
Решение
Я бы порекомендовал использовать для этого функцию получения ключа на основе пароля вместо базовой хеш-функции. Что-то вроде этого:
// tuning parameters
// these sizes are relatively arbitrary
int seedBytes = 20;
int hashBytes = 20;
// increase iterations as high as your performance can tolerate
// since this increases computational cost of password guessing
// which should help security
int iterations = 1000;
// to save a new password:
SecureRandom rng = new SecureRandom();
byte[] salt = rng.generateSeed(seedBytes);
Pkcs5S2ParametersGenerator kdf = new Pkcs5S2ParametersGenerator();
kdf.init(passwordToSave.getBytes("UTF-8"), salt, iterations);
byte[] hash =
((KeyParameter) kdf.generateDerivedMacParameters(8*hashBytes)).getKey();
// now save salt and hash
// to check a password, given the known previous salt and hash:
kdf = new Pkcs5S2ParametersGenerator();
kdf.init(passwordToCheck.getBytes("UTF-8"), salt, iterations);
byte[] hashToCheck =
((KeyParameter) kdf.generateDerivedMacParameters(8*hashBytes)).getKey();
// if the bytes of hashToCheck don't match the bytes of hash
// that means the password is invalid
Ну, что вы можете сделать, это получить:
StringBuilder salt=new StringBuilder();
salt.append("MySuperSecretSalt");
MessageDigest md = MessageDigest.getInstance("SHA-256");
String text = "This is text to hash";
salt.append(text);
md.update(salt.toString().getBytes("UTF-8")); // Change this to "UTF-16" if needed
byte[] digest = md.digest();
Ваш дайджест теперь содержит хэш вашей строки + соль, поэтому он помогает защитить от радужных таблиц.