暗網潛航——鹽不足故不鹹

  上次提及過密碼學上的「柯克霍夫原則」,指出現時使用的所有密碼演算法都是公開的,只是使用保護機制來保護密匙。要加強保護這些被加密了的「密文」(ciphertext或cyphertext),在密碼學上便會用到「加鹽」及「密匙管理」。「鹽」是指在密文的任意或固定位置插入隨機或特定的字串作為擾亂及增加企圖破解密文的額外保護機制。這種保護機制慣常會用於「雜湊函式」/「雜湊演算法」中。
  那怎樣「加鹽」才算正確?一般來說破解密碼或逆向推算密文內容會使用預先準備好的字典單字、常用密碼及「字典檔」的檔案進行「暴力破解」,例如著名的彩虹表可在約160秒內破解Windows2003的14位元數字密碼。其實只要能識別加密演算法類別及其規律,密碼被破解只是時間和算力問題,因此我常勸喻大家不要使用在字典內找得到,或常用文字及短句構造密碼,並要設定帳戶輸入三次錯誤密碼後便會被鎖定。
  此外,要使隨機「鹽」更為有效便需要包含兩個元素:第一,使用「雜湊」一般會追趕升級最新高階的演算法如SHA2或SHA3,再配合長度更強及更複雜的256及512位元,一旦演算法被公開便摒棄已被知曉及破解的演算法;第二,在高階複雜位元的演算法內,加入隨機分佈的「鹽」,以提升密文強度,擾亂破解者,如可以利用每個帳號被創造或編輯改動的年、月、日、時、分、秒及微秒作為隨機「鹽」的組合因素,因其擁有「絕對自然分佈」的特性,這種特性可構造完全不可預測及規範的變化,這樣可大大提升破解「加鹽」密文的難度。
TOZ聯合創辦人
龐博文



更多文章