Получите постоянную соль из зашифрованных и открытых текстовых значений
У меня есть постоянная СОЛЬ, которая добавляется к каждому куки, прежде чем он зашифрован с помощью sha512. Если я знаю чистый текст и окончательные зашифрованные значения более чем одного файла cookie, можно ли использовать такой инструмент, как Джон Риппер, чтобы угадать значение соли?
Ответы, которые я нашел в Интернете, говорят о поиске пароля, но мне интересно найти соль.
2 ответа
Короткий ответ:
Нет, ты не можешь.
Причины:
Прежде всего, sha512 - хэш-функция. Вы не можете "расшифровать" хеш-функции. Если бы это было возможно, sha512 не будет безопасным.
Несколько дней назад Google обнаружил первое столкновение за 6 610 процессорных лет.
Источник: Первый sha512 Hashcollsion
(Это не атака!) Они использовали несколько распределенных систем. Таким образом, обычная программа, такая как John-the-Ripper, не сможет это сделать.
SHA512 не является шифрованием.
Это потребовало бы атаки грубой силы через диапазон соли, если бы соль состояла всего из нескольких символов или байтов, атака легко прошла бы успешно.
В зависимости от использования HMAC может быть лучшим выбором, чем просто добавление соли, существуют атаки (в зависимости от использования) на составную соль.
Если вы используете ту же соль, она может быть обнаружена атакующим, который получает доступ к системе. Лучшим методом является использование случайной соли с HMAC и добавление соли к хеш-значению, тогда она не должна быть секретной. Это предполагает, что вам нужно иметь возможность пересчитать один и тот же хеш из тех же данных
Для паролей, где требуется большая безопасность, использование хеш-функции с солью мало что делает для повышения безопасности. Вместо этого добавьте в HMAC случайную соль в течение примерно 100 мс и сохраните соль с помощью хэша. Используйте такие функции, как PBKDF2, Rfc2898DeriveBytes, password_hash, Bcrypt и аналогичные функции. Смысл в том, чтобы заставить злоумышленника тратить много времени на поиск паролей грубой силой.