MD5 アルゴリズムを誤解している可能性があります。

[[404109]]

この記事はWeChatの公開アカウント「Lean Coder」から転載したもので、著者はattuteiの別名です。この記事を転載する場合は、Lean Coder の公開アカウントにご連絡ください。

「MD5 暗号化」は単なる言葉です。MD5 は暗号化アルゴリズムではなく、ダイジェストアルゴリズムです。

今日は、Xiaomajia が暗号化アルゴリズムとダイジェストアルゴリズムの定義とシナリオを整理します。

答えは次のとおりです。

暗号化アルゴリズムの目的は、他人が暗号化されたデータを閲覧できないようにし、必要に応じてデータを復号化して再度閲覧できるようにすることです。

MD5 アルゴリズムはハッシュアルゴリズムです。ハッシュアルゴリズム自体の設計目的により、ほとんどの場合、元に戻すことはできません。つまり、ハッシュアルゴリズムを通じて取得したデータは、どのアルゴリズムでも復元できません。したがって、データを復元できないので、それを復号化と呼ぶことはできません。また、復号化できないので、ハッシュ処理を当然 [暗号化] と呼ぶことはできません。

暗号化アルゴリズム

暗号化: 元の情報を特殊なアルゴリズムで変更し、権限のないユーザーが暗号化された情報を入手したとしても、復号化方法がわからないため、情報の内容を理解することはできません。

復号化: 暗号化の逆のプロセスが復号化であり、暗号化された情報を元の情報に変換するプロセスです。

暗号化アルゴリズムは、対称暗号化と非対称暗号化に分けられます。対称暗号化アルゴリズムの暗号化キーと復号化キーは同じですが、非対称暗号化と復号化キーは異なります。

HTTPS は非対称暗号化と対称暗号化の両方を使用します。接続確立フェーズでは、非対称暗号化と復号化が使用され (キーが閲覧されないように保護するため)、通信フェーズでは対称キーを使用してデータが暗号化および復号化されます。

ダイジェストアルゴリズム

要約アルゴリズム。ハッシュアルゴリズムまたはハッシュアルゴリズムとも呼ばれます。関数を通じて、任意の長さのコンテンツが固定長のデータ文字列に変換されます。

ダイジェストアルゴリズムがデータの改ざんの有無を判断できるのは、ダイジェスト関数が一方向関数であるためです。計算は簡単ですが、ダイジェストからデータを推測するのは非常に困難です。さらに、元のデータに少しでも変更を加えると、計算されたダイジェストはまったく異なるものになります。

Xunlei を使用して映画をダウンロードすると、ダウンロードサイトから MD5 検証コードも提供されます。

MD5 検証ツールを探し、ダウンロードしたファイルに対して MD5 アルゴリズムを実行し、得られたハッシュ値をダウンロードサイトに添付されている MD5 値と比較します。値が同じであれば、Web サイトからダウンロードしたファイルは破損していないことを意味します。

ＨＭＡＣ

キーとハッシュ関数を組み合わせたリクエスト認証スキームについて説明します。

HMAC (ハッシュベースのメッセージ認証コード)

多くのサードパーティプラットフォームは、この認可および認証スキームを使用しています。API プラットフォームを思い出してください。AppID 選択キーのペアが頻繁に提供されますか?

1. クライアントとサーバーの両方が秘密鍵を知っている

2. クライアントがリクエストを行うたびに、（リクエストデータ + 秘密鍵）のハッシュ値が生成される。

HMAC = hashFunc(秘密鍵 + メッセージ)

3. クライアントはリクエストの一部としてハッシュ値を送信する

4. サーバーはリクエストを受信すると、(受信したリクエスト + 検索された Serctkey) のハッシュを生成し、計算されたハッシュ値をリクエストに添付された元のハッシュ値と比較します。同じ場合、リクエストは信頼できるクライアントからのものであり、改ざんされていないと判断されます。

なぜこのようなことが起こるのでしょうか?

まず、クライアントとサーバーのハッシュ値は同じです。ハッシュアルゴリズムの元の設計によれば、これはリクエストプロセスが改ざんされていないことを意味します。

一方、クライアントとサーバーは同じ Serct Key (これは個人情報です) を使用していると推測できるため、ここでクライアントから送信されたリクエストを拒否することはできません。

クライアントがハッシュを生成するときにタイムスタンプを追加することも検討できます (リクエストにもこのタイムスタンプが付随している必要があります)。サーバーはそれを受信した後、最初にサーバーのタイムスタンプとリクエストのタイムスタンプを比較し、有効なリクエストを 15 秒以内に制限します。次に、サーバーは (リクエストメッセージ + 選択キー + タイムスタンプ) のハッシュを生成し、リプレイ攻撃を回避するためにハッシュを比較します。