加密技術

簡介

密碼（password）是最廣泛使用的認證系統之一，防止未經授權的使用者通路系統，無論是離線還是線上。在大多數系統中，密碼是通過加密存儲的，以便為每個使用者提供安全性。然而，在這些密碼的加密之内，仍然存在漏洞。本文将回顧關于密碼哈希（hash）函數的學術和出版文獻，特别指出MD4，MD5，SHA算法以及在Linux作業系統中使用Salt字元串。

在此之後，洞察密碼破解的方法為檢驗（reviews），确定字典攻擊，暴力攻擊和彩虹表（Rainbow

Table）的使用。本次審查将允許更深入地了解安全功能和可能的漏洞在此機制内進行調查後。調查将使用UNIX開發的軟體John

Ripper和RainbowCrack來檢視最常見的密碼破解方法之一。

John

Ripper是一個密碼破解器，它将多密碼密碼破解技術組合到一個程式中，更具體地說，利用字典攻擊和強力方法來識别使用者的密碼，并且可以針對各種密碼加密算法運作。暴力和字典攻擊生成所有可能的明文密碼，因為它處理和比較哈希與目标哈希，一旦比對的密碼可以識别。彩虹表攻擊是一種以空間換時間的黑客攻擊方法，它将進行預計算，并把結果存儲在所謂的彩虹表中。

彩虹表（彩虹表如何工作？

）包含目标密碼哈希運作直到它達到比對的純文字/散列鍊的清單。調查将首先主要在Linux作業系統中使用John Ripper ;

對該系統中的密碼檔案運作字典/強力攻擊，其使用SHA512算法。在Windows作業系統将調查Rainbow攻擊，以從MD5哈希函數提取密碼。我們将調查這兩個軟體，以允許解釋哈希函數和密碼破解技術在現代作業系統及其中的檔案系統。下列調查突出并解釋了使用破解技術作為通路使用者系統的手段突出顯示了在入侵方法和計算機驗證中的使用。此外，這将提供對密碼雜湊演算法的安全功能的進一步了解，并識别關鍵計算機網絡安全中的漏洞，允許我們批判性地評估，了解和部署這些方法。

哈希函數（MD4，SHA，MD5和DES）和Salt字元串

所有系統通常都需要使用使用者名和密碼進行身份驗證。解釋了獲得通路的典型執行個體分為兩個階段：

認證（Authentication）- 這是系統檢查辨別符的地方; 這可能是一個電子郵件位址或使用者名。然後它将根據系統的密碼檔案檢查密碼，如果比對正确，則允許通路。

授權（Authorisation）- 這是系統根據其資料庫檢查辨別符或密碼，以識别使用者在該系統中的權限級别。

是以大多數系統都以加密格式存儲和發送密碼，以最大限度地防禦潛在的攻擊和漏洞。大多數系統包含使用輸入字元串建立輸出字元串的單向函數。

雜湊演算法是加密密碼的最受歡迎的方法。當使用者以明文形式建立密碼時，它通過雜湊演算法運作以産生存儲在檔案系統中的密碼文本。三種最廣泛使用的算法是MD5，SHA和RIPEMD; 然而所有算法都來自MD4的格式

總結了所使用的主要算法：

·MD4：具有3輪16步，輸出位長度為128位。

·MD5：具有4輪16步，輸出位長128位。

·SHA-1：具有4個20階的步長和160位的輸出位長度。

·RIPEMD-160：具有5輪16步，輸出位長160位。

·SHA-256：具有64輪單步，輸出位長度為256位。

·SHA-384：實際上與SHA-512相同，除了輸出被截斷為383位。

·SHA-512：具有80個單步的輪數和512位的輸出位長度。

Linux和Windows之間的安全特性的主要差別是UNIX系統使用Salt

Strings。如（Whitaker和Newman，2005）所述，salt字元串生成随機生成的值，該值随着使用密碼哈希處理的每個密碼存儲。這允許為系統中的每個密碼提供額外的安全性，特别是對于簡單密碼或重用密碼。

調查字典和彩虹攻擊密碼哈希

首先，我們将使用John The Ripper來研究 Linux内字典攻擊和暴力攻擊的功能。大多數Linux系統可以選擇使用哪個哈希函數來存儲密碼，在Linux系統中，使用的雜湊演算法在檔案/etc/login.defs中定義

結論

已經進行了大量研究來檢查在系統中使用密碼哈希所面臨的有效性和漏洞。然而，重要的是要強調，為了成功破解作業系統中的密碼，如本調查所示;攻擊需要獲得具有目标密碼的哈希值的密碼檔案，或者通過在目标上實施分組嗅探。大多數讨論的文獻回顧了這樣的事實，即簡單的密碼哈希更容易破解，由于破解複雜密碼的計算處理。正如我們從調查中看到的，使用的密碼和雜湊演算法（例如SHA526）越複雜，由于破解計算所需的時間長度，攻擊者可能會變得越不切實際。在此調查中使用Dictionary和Rainbow攻擊允許我們分析密碼哈希的影響，并比較當密碼破解時可以使用的替代方法。通過對密碼哈希和破解技術的更深入分析，本調查強調，系統中密碼安全的最佳方法是確定包含大寫，小寫，數字和特殊字元的強大的密碼建立。雖然這不能完全防禦這些攻擊，但它确實對攻擊者造成不切實際，可能會起到威懾作用。