資訊與網路安全技術：第四章 雜湊與亂數演算法  上一頁      下一頁

4-3 MD5 訊息摘要

內容：

• 4-3-1 MD5 運作原理

• 4-3-2 MD5 演算法

• 4-3-3 MD5 壓縮函數

『訊息摘要』（Message Digest）是由 Ron Rivest（RSA 中的 “R”）在 MIT 所發展的一系列雜湊演算法，其中較著名的有 MD2（RFC 1319）、MD4（RFC 1320） 與 MD5（RFC 1321）。MD2 主要是以 8 個位元為單位的計算方式，複雜度較弱，一般都將該演算法崁入於數位晶片上，如 IC 卡。MD4 與 MD5 都是針對 32 位元 CPU 所設計的；MD5 是由 MD4 改良得來，主要為了增加複雜度，就目前而言，MD5 早已凌駕 MD4 之上。

4-3-1 MD5 運作原理

MD5 是將不定長度的訊息，演算成一個 128 個位元長的訊息摘要（或稱雜湊碼）；計算方式是屬於串接式的區塊演算法，如圖 4-3 所示。處理步驟如下：

圖 4-3 利用 MD5 產生訊息摘要

• 步驟 1：加上一些附加位元（Padding Bits），使得訊息長度除以512餘數為448(448 mod 512)。如果訊息的長度剛好滿足448 mod 512時，仍必須加入 512 bits 的附加位元。所附加位元的資料除第一個位元為1，其餘皆為0。

• 步驟 2：加上 64 bits 長度欄位，其內容表示原訊息的長度，以位元為單位。如果長度超過 2⁶⁴ 個位元，則只取最低 64 位元的資料；亦即 mod 2⁶⁴。

• 步驟 3：以每 512 bits 為單位，將訊息分割為L個區塊 {P₀, P₁, .., P_q, …, P_L-1}。

• 步驟 4：將第一區塊（P₀）與起始向量（Initial Vector, IV，128 bits）輸入到 MD5 演算法中，輸出為 CV₁（128 bits）；CV₁ 則作為下一個區塊P₁的輸入向量，依此類推。

• 步驟 5：最後區塊（P_L-1）與前一個 CV_L-1 經由 MD5 演算後的輸出值，即為該訊息的訊息摘要（或稱雜湊值，128 bits）。

起始向量（IV）是一個重要的參數，每次演算時加入不同的 IV 值，可以增加破解的困難度。一般來講，IV 值只要在雙方協商時，以明文傳送即可（亦可加入於原訊息中一起加密）。

4-3-2 MD5 演算法

接下來，我們來探討圖 5-3 中的 MD5 演算法，他有兩組輸入：一組為 512 bits 的明文區塊（P_q），另一組為上一區塊所計算出來 128 bits 的雜湊值（CV_q）（第一個區塊為 IV 值）。經由 MD5 演算法計算出 128 bits 的雜湊值（CV_q+1）後，繼續傳送給下一個區塊直到結束。其實，圖 5-3 中只有一個 MD5 演算法，亦即各個區塊不斷重複使用同一個 MD5 演算法。MD5 演算法共區分為四個步驟，每個步驟須重複運算 16 次，合計共有 64 次的運算。其計算方式是將 512 bits 區分為 4 個 128 bits 的運算單位，分別存入 4 個暫存器內，在 64 次計算當中，都依照暫存器的內容來運算，並分別加入前一次的雜湊值，不僅如此，還加入 sin(x) 函數的運算，如此說來，MD5 應該夠複雜了。

圖 4-4 為 MD5 演算法的功能圖，共分為 4 個回合計算，每一回合計算 16 次。處理步驟如下：

• 步驟 1：將輸入明文（512 bits）以每 32 bits 為單位，分別存入X[k]中，其中 k =0, 1, 2, .., 15；每一回合的每一次計算分別選入不同的 X[k] 值（容後介紹）。

• 步驟 2：初始化 A、B、C 與 D 暫存器。MD5 必須產生 128 bits 的訊息摘要，而這些摘要必須利用4 個暫存器來儲存及運算，因此每個暫存器的空間是 32 bits；其初始值的設定分別如下：（16 進位表示）

A：01 23 45 67

B：89 ab cd ef

C：fe dc ba 98

D：76 54 32 10

 其中數值皆以較小位元在前面的位元組（Little-endian）方式來儲存。

圖 4-4 MD5 演算法的功能圖

• 步驟 3：進入第一回合運算，將 A、B、C 與 D  等四個暫存器與明文輸入的 X[k]，一起輸入到一個稱之為『壓縮函數』（容後介紹）內處理，此壓縮會使用到 sine 函數所建立的參數 T[i]（容後介紹，圖 5-5）。每次處理的壓縮函數的輸入參數為 [abcd, k, s, i]，其中 abcd 表示上一執行次數的四個暫存器、k 表示輸入明文的區段 X[k]、i 表示 sine 函數的參考值 T[i] 與 s 表示向左迴旋的次數。輸出時，bcd 三個暫存器的內容不變，但 a 暫存器修改成 a = b+((a+F(b, c, d)+X[k]+T[i]) <<<s)，其中 F 函數每個回合都不同（容後介紹）。本回合需連續執行 16 次，各次的輸入參數如下：

以第二次執行為例，其輸入參數為 [DABC, 1, 12, 2]（k=1, s =12, i=2），表示將上一次運算的 D、A、B、C 暫存器分別填入本次的 A、B、C 與 D 暫存器中，再計算 a = b+((a+ F(b, c, d)+ X[1] + T[12]) <<< 2)，然而 B、C 與 D 暫存器的內容不變。

• 步驟 4：進入第二回合運算。同樣執行 16 次，但變更 a 的函數為 G，則 a = b+((a+G(b, c, d)+X[k]+T[i]) <<<s)；每次輸入的參數如下（[abcd, k, s, i]）：

• 步驟 5：進入第三回合運算。同樣執行 16 次，改變 a 的函數為 H，則 a = b+ ((a+ H(b, c, d)+ X[k]+T[i]) <<<s)；每次輸入的參數如下（[abcd, k, s, i]）：

• 步驟 6：進入第四回合運算。同樣執行 16 次，改變 a 的函數為 I，則 a = b+ ((a+ H(b, c, d)+ X[k]+T[i]) <<<s)；每次輸入的參數如下（[abcd, k, s, i]）：

• 步驟 7：輸出訊息摘要。將第四回合最後一次的運算結果，與原來輸入區段（CV_q）的相對應暫存器（A、B、C 與 D）相加後，得到本區段的輸出（CV_q+1）。兩個暫存器（32 bits）相加時，如有進位則將之捨棄（mod 2³²）。

很顯然的，MD5 演算法是經過 64 次的重複計算，類似攪拌機的功能，完全將 512 bits 資料的關聯攪碎。光攪拌還是無法消除位元之間的連帶性，因此，每一次攪拌時再加入一些『鹽』（Salt），使其更加混擾，類似『醃製法』（Salt Value）的功能。至於採用何種『鹽』會比較沒有關聯性，就 MD5 而言，它使用 Sine 函數的非線性數值特性，計算方式是 T[i] = 2³² × (abs(sin(i))，其中 i 表示弧度（Radians），i 由 1 到 64；亦即每一次運算取一個鹽 T[i]，共64 次運算，剛好由 T[1] 取到 T[64]，T[i] 的數值如圖 4-5 所示。另外，每一次運算時，會輸入 32 個位元的明文（X[k]），原區塊的明文倍分割為 16 的段落（X[0], X[1], …, X[15]），也會在這 64 次計算中重複被輸入。

圖 4-5 sin(x) 函數所建立的『鹽』

4-3-3 MD5 壓縮函數

每一回合的運算器稱之為『壓縮函數』（Compression Function），是 MD5 演算法的核心。它的功能是將 512 個位元的區塊，攪拌及壓縮成 128 個位元，其運算程序如圖 4-6 所示，各暫存器的運算式為：

a = b + ((a + g(b, c, d) + X[k] + T[i]) <<< s)

b = b,  c = c,  d = d

圖 4-6 MD5 壓縮函數的功能圖

其中：

• a, b, c, d：為四個 32 位元的暫存器。

• g：每一回合有不同的基本函數，分別是 F、G、H 與 I。

• <<< s：表示向左迴旋 s 個位元。

• X[k]：表示區塊明文中的第 k 個 32 位元字元。

• T[i]：表示圖 5-5 中的 Sine 函數值。

• + ：取 32 位元的同餘加法（mod 2³²）。

上述的意思是，每次（每回合有 16 次）只針對暫存器 a 的內容做運算，而 b、c 與 d 的內容不變；計算後的 a、b、c、d 暫存器分別填入下次的 B、C、D、A（各次皆不相同），做為下一次計算的暫存器內容。且每一回合（計有四個回合）的基本函數 g 亦不相同。MD5 利用 4 個邏輯運算子，來實現基本函數，分別是 AND（符號：）、OR（）、NOT（）與 XOR（⊕），各個回合的基本函數歸類如下：

• 第一回合：F(b, c, d) =  = bc +d

• 第二回合：G(b, c, d) =  = db +

• 第三回合：H(b, c, d) = b⊕c⊕d

• 第四回合：I(b, c, d) = c⊕ = c⊕=

函數 F 是一個條件函數：If b then c else d；同樣的，G 也是條件函數：If d then b else c；函數 H 是互斥或產生一個同位位元（Parity bit）；函數 I 是：If c then (b or not d) else (not b or d)。

對 MD5 而言，每四個回合都有一個基本函數（F、G、H 與 I），並且每一回合都計算 16 次；基本上，以 128 bits 的雜湊值而言，它是非常安全的。但對生日攻擊法而言，只要搜尋 2⁶⁴ 的偽造訊息，仍然可以找出相同的雜湊值，就目前電腦速度來講，其安全性已漸堪慮。

翻轉工作室：粘添壽

資訊與網路安全技術

• 第一章 安全性資訊系統簡介

• 第二章 傳統秘密鑰匙系統

• 第三章 現代公開鑰匙系統

• 第四章 雜湊與亂數演算法

  • 4-1 雜湊函數簡介

  • 4-2 簡單的雜湊函數

  • 4-3 MD5 訊息摘要

  • 4-4 SHA-1 演算法

  • 4-5 破解雜湊函數

  • 4-6 亂數產生器

• 第五章 密碼系統的實習環境

• 第六章 訊息確認

• 第七章 數位簽章與數位憑證

• 第八章 安全性網頁系統

• 第九章 安全性電子郵件

• 第十章 防火牆

• 第十一章 入偵測與網路病毒

• 第十二章 虛擬私有網路 - IPSec

• 第十三章 用戶認證與協定

• 第十四章 Kerbers 認證系統

翻轉電子書系列：

• 資訊與網路安全技術

• Java 程式設計(一)含程式邏輯

• Java 程式設計(二)含物件導向

• 資料庫程式設計 - PHP+MySQL

• 資料庫系統概論(含邏輯設計)

• 網路規劃與管理技術

• 電腦網路與連結技術

• TCP/IP 協定與 Internet 網路

• 電子商務安全概論

• Linux 伺服器管理 - CentOS

• Unix/Linux 系統管理實務