程序员经验分享-hwhale

是否可以重建加密哈希的密钥

2024-04-11

我们希望以加密方式 (SHA-256) 对数据库中的秘密值进行哈希处理。由于我们希望使用它来查找数据库中的各个记录,因此我们不能为每个加密值使用不同的随机盐。

我的问题是:如果对我们的数据库进行无限制的访问,并且攻击者至少知道一个秘密值和哈希值对,那么攻击者是否有可能对加密密钥进行逆向工程?即,攻击者是否能够反转所有哈希值并确定所有秘密值?

如果是这样的话,这似乎违背了加密哈希的全部目的,所以也许我错过了一些东西。


目前还没有发布针对 SHA-256 的“第一原像”攻击。如果没有这样的攻击来打开快捷方式,攻击者就不可能从 SHA-256 哈希中恢复秘密值。

然而,提到“秘密密钥”可能表明对哈希值有些混淆。哈希算法不使用密钥。因此,如果攻击者能够攻击一个“秘密值-哈希值”对,他就不会学到一个“密钥”,从而使他能够轻松反转其余哈希值。

当哈希被成功攻击时,通常是因为原始消息来自一个小空间。例如,大多数密码都是从相对较短的真实单词列表中选择的,可能还进行了一些简单的排列。因此,攻击者不是系统地测试每个可能的密码,而是从数十亿个最常见密码的有序列表开始。为了避免这种情况,从大空间中随机选择“秘密值”很重要。

有一些消息身份验证算法将密钥与一些数据散列在一起。这些算法用于保护消息的完整性免遭篡改。但它们无助于阻止原像攻击。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

Encryption

是否可以重建加密哈希的密钥 的相关文章

  • 拥有 n (2048 位数字),如何找到满足 n = p*q 的两个数字 p 和 q,其中 p = r||s (r 和 s 连接)和 q = s||r?

    我正在使用 RSA 加密 解密系统 并且我有模数 n 这是一个 2048 位数字 我需要找到 p 和 q 它们满足 n p q 并且都是素数 给我的线索是 p 等于 q 但其位颠倒了 正如我在本文标题中所说的那样 具体来说 r 和 s 具有

  • 如何保护 RESTful Web 服务的安全?

    我必须实施安全RESTful Web 服务 https www ibm com developerworks webservices library ws restful 我已经使用谷歌做了一些研究 但我陷入困境 Options TLS H

  • 用java解密AES加密文件

    我有一个使用 AES 使用 java 应用程序加密的文件 我还有一个加密的密钥文件 但我不明白如何使用密钥来解密文件 大多数教程和示例都会在一个地方创建临时随机密钥 加密文件和解密 所以 问题是如何指定解密时必须使用的密钥 EDIT 我发现

  • 用于加密的 Webauthn

    我们有一个 PWA 项目 我们想要实现客户端加密 我们希望将 Webauthn 用作与密码结合的第二因素 在后台我们使用随机生成的密钥来加密 解密数据库 该密钥与密码对称加密存储在服务器上 然而 我正在努力寻找一种使用 webauthn 向

  • NCFB 和 NOFB 模式有何用途?

    我在任何地方都找不到它 当我用谷歌搜索它时 它显示了这个问题发布在这里 鉴于这种情况 我想问一下 cfb 和 ofb 前面的 n 是什么意思 这是我能找到的对 nCFB 和 nOFB 的参考 请注意 文档其余部分中的 CFB 和 OFB 代

  • PHP 中的 htmlspecialchars() 或 Ruby on Rails 中的 h() 是否足以防御所有 XSS(跨站脚本)攻击?

    Is htmlspcialchars user data 在 PHP 中或h user data Ruby on Rails 是否足以防御所有 XSS 跨站脚本 攻击 使用的编码或任何其他可能的考虑因素怎么样 Both htmlspecia

  • asp.net 中的 HTML 标签注入

    我的安全团队报告了以下代码的一个 html 标签注入安全问题 function ClosePopUp objBhID var pageName window location pathname var modalPopupBehavior

  • 使用 .NET 加密和解密数字

    NET 使用 C 有哪些可用的加密技术 我有一个数值 我想将其加密为字符串表示形式 哪一款支持解密 加密 由 NET 框架 BCL 提供 而不是 C 语言提供 通常对字节进行加密 但那很好 数字很 容易表示为字节 并且输出字节可以通过以下方

  • CAS(代码访问安全)的目的是什么?

    我参与过很多 Web 应用程序 但从未使用过 CAS 也许也从未觉得有必要使用它 什么时候需要使用CAS 人们真的在他们的应用程序中使用它吗 CAS 实际上只在桌面应用程序中有用 可以这么说 在桌面应用程序中 您想要限制通过网络 例如 运行

  • 如何安全地存储和处理 JWT 密钥

    读完这篇文章后 JWT 什么是好的密钥 以及如何将其存储在 Node js Express 应用程序中 https stackoverflow com questions 30089604 jwt whats a good secret k

  • Crypto-Js 与 mcrypt 不同的输出取决于要加密的数据

    我的问题现在与此相关Crypto Js 与 mcrypt 的输出不同 https stackoverflow com questions 24388677 crypto js different output from mcrypt 这就是

  • 一个 Guice 就绪的安全框架?

    有没有人见过一个为与 Guice 一起工作而编写的框架 或者一个将现有安全系统 即 Acegi 与 Guice 集成的库 到目前为止我发现了以下内容 http code google com p warp security http cod

  • 是否可以从 .apk 文件获取 Android.mk 或本机源文件?

    看来从 apk文件中获取Java源文件是很容易的 但是否有可能得到Android mk or native通过工具或棘手的方法从 apk 文件中获取源文件 我正在研究 Android 应用程序本机代码安全性 因此这些文件对我来说非常重要 谢

  • python:PyPi公共模块:如何确定是否安全?

    我已经完成了我的 python 3 应用程序 它正在使用 PyPi 的多个公共模块 然而 在我将其部署到我公司的企业 将处理客户的凭据并访问第 3 方 API 之前 我需要尽职调查确保它们既安全又安全 我必须执行哪些步骤 验证 PyPi 模

  • 如何使用过滤器进行输出编码以防止XSS?

    我在 servlet 中使用以下代码 protected void doGet HttpServletRequest request HttpServletResponse response throws ServletException

  • 获取 Wi-Fi 配置文件信息

    我使用的是 Windows 8 1 它没有工具 带有 GUI 来管理 wifi 网络配置文件 所以我正在写一篇对我有帮助的文章 我做了一些谷歌搜索并发现托管 Wifi API https managedwifi codeplex com 并

  • 恢复 SQL Server 数据库 - 主密钥未打开

    我必须制作远程 SQL Server 数据库的本地副本 我通过使用 Management Studio 中的 任务 gt 备份 来完成此操作 然后 我在本地恢复了备份 该备份似乎包含了所有内容 表 用户 对称密钥和证书 当我尝试执行需要打开

  • SSLContext 初始化

    我正在看JSSE参考指南 我需要获取一个实例SSLContext为了创建一个SSLEngine 所以我可以使用它Netty以启用安全性 获取实例SSLContext I use SSLContext getInstance 我看到该方法被重

  • python 和 android 中通过 AES 算法加密和解密

    我有用于 AES 加密的 python 和 android 代码 当我在android中加密文本时 它在python上成功解密 但无法在android端解密 有人有想法吗 Python代码 import base64 import hash

  • 使用 AES SecretKey 的 Java KeyStore setEntry()

    我目前正在 Java 中开发一个密钥处理类 特别是使用 KeyStore 我正在尝试使用 AES 实例生成 SecretKey 然后使用 setEntry 方法将其放入 KeyStore 中 我已经包含了代码的相关部分 The KS Obj

随机推荐

  • 在 React 中逐个字母地“打印”字符串

    我有一个 React Native 组件 需要显示一个带有逐个字母打印的字符串字母的动画 因此 从逻辑上讲 我需要在循环内更新 React 状态挂钩 以 1 秒的间隔将字符串的每个字符附加到其中 到目前为止我所拥有的是 let placeh

  • 在android中以编程方式覆盖文本转语音设置中的“始终使用我的设置”选项

    某些平板电脑具有覆盖应用程序文本转语音设置的选项 名为 文本转语音设置中的 始终使用我的设置 如果选中此选项 则 TTS 引擎将选取 TTS 的用户设置 而不是特定于应用程序的设置 我的要求是 每当我的应用程序使用 TTS 引擎时 应始终使

  • Hibernate + Informix + Blob + 字节数组

    我在将字节数组保存到 Informix 数据库时遇到问题 我将向您展示我是如何尝试的 在 Fichero java 中 我有以下内容 Column name fichero columnDefinition blob private byt

  • 今天 iPad 的扩展高度比指定的要大得多

    我的今日扩展需要根据小部件显示的内容具有动态高度 我可以通过在最底部元素上添加约束来实现此目的 底部布局指南的顶部小于或等于最底部元素的底部 常数为 0 优先级为 999 乘数为 1 这与 iPhone 上的预期完全一样 小部件高度适合所有

  • 舍入到列表中最接近的任意数字

    我基本上是在寻找一种方法来做一些变化这个 Ruby 脚本 https stackoverflow com questions 3160502 ruby round number down to nearest number based on

  • Meteor 如何访问服务器端和客户端的 Facebook Graph Api

    脸书账户 https atmospherejs com meteor accounts facebook包仅提供登录和注销功能 流星fbgraph https github com stevezhu meteor fbgraph允许访问服务

  • Rails 3 和嵌套 jQuery 文件上传模型

    有没有人有关于使用嵌套属性让 jQuery 文件上传插件与 Rails 一起使用的建议 示例 我的模型 has many 附件并接受必要的嵌套属性 我想让它与 jQuery 文件上传一起使用 但还没有找到任何好的例子来帮助我开始 有没有人取

  • 带有 varargs 的 Julia @evalpoly 宏

    我正在尝试使用 Julia 的 evalpoly宏 当我手动提供系数时它可以工作 但我一直无法弄清楚如何通过数组提供这些系数 julia gt VERSION v 0 3 5 julia gt evalpoly 0 5 1 2 3 4 3

  • 几何着色器中的宽线表现得很奇怪

    我正在尝试使用几何着色器渲染任意宽线 在屏幕空间中 乍一看似乎一切都很好 但在某些视图位置上 线条渲染不正确 左侧图像呈现正确的渲染 正 X Y 和 Z 轴上的三条线 2 像素宽 当相机移动到原点附近 实际上靠近线条 时 线条会像正确的图像

  • Facebook 画布应用程序与 Facebook 移动网络应用程序

    我对 facebook 画布应用程序和 facebook 移动网络应用程序之间的区别有点困惑 这是我困惑的背景 我有一个画布应用程序 让我们将其命名空间称为 myfbapp 我基本上可以从https apps facebook com my

  • 返回匹配的逻辑向量:支持正则表达式吗?

    我想为字符向量上的正则表达式匹配返回一个逻辑向量 但 match 或 in 似乎不支持正则表达式 例如 gt x lt c Bill Brett Jane gt grep B x 1 1 2 gt x in B 1 FALSE FALSE

  • 奇怪的 jQuery Mobile listview 没有完全刷新

    我有一个 jQuery Mobile 列表视图不刷新的问题 但仅在一个极其特殊的实例中 当我在 Android 手机 特别是 Google Nexus 上测试我的应用程序时 会出现此问题 当我的列表视图从视图 1 正确加载到视图 2 后 就

  • 在 Angular 2 + Immutable.js 中迭代(使用 *ngFor)

    我正在使用 Angular 2 和 Immutable JS 但我似乎无法在我的模板中使用简单的 for 循环 真是令人沮丧 我尝试了以下旧语法 基于教程 div class filter row div class row title f

  • CA2W 给了我一个“'AtlThrowLastWin32':找不到标识符”错误

    当我遵循以下命令时 我遇到了一个奇怪的编译错误MSDN文档 http msdn microsoft com en us library 87zae4a3 VS 80 aspx在 Visual Studio 2005 中使用 CA2W 将 b

  • 如何在 django 中分离出我的模型?

    我正在尝试学习 python django 现在 我的所有模型都在 models py 中 是否可以分解我的模型 以便我可以在单独的模型文件夹中为每个模型创建一个文件 以便我可以执行以下操作 myproject myapp models u

  • Angular2 中的 OnPushObserve 和 OnPush 有什么区别?

    Angular2 中的 OnPushObserve 和 OnPush 有什么区别 我了解 onPush 策略和 Observables 的所有信息 但想知道这两者之间的区别 也许 ng2 dev 可以分享更多信息 文档似乎已经过时 http

  • 如何访问unittest.TestCase中的unittest.main(verbosity)设置

    根据文档 我可以在调用时设置 python 单元测试的详细级别unittest main e g unittest main verbosity 2 我怎样才能在一段时间内访问这些信息unittest TestCase 任何基于修补或子类化

  • 如何同步运行在不同服务器上的不同数据库(MYSQL)的两个表之间的数据

    我有 2 个不同的 mysql 数据库 旧的和新的 在不同的服务器上运行 旧数据库有大约 10 个表 我想同步其中的 3 个表数据库新表 因此 如果这 3 个表上发生任何添加 删除 更新 那么这些条目应该在数据库 NEW 上更新 我已经使用

  • 从所有 Outlook 联系人文件夹中获取联系人 Microsoft Graph

    我正在使用 Microsoft Graph 使用以下代码检索联系人文件夹 GraphServiceClient client new GraphServiceClient new DelegateAuthenticationProvider

  • 是否可以重建加密哈希的密钥

    我们希望以加密方式 SHA 256 对数据库中的秘密值进行哈希处理 由于我们希望使用它来查找数据库中的各个记录 因此我们不能为每个加密值使用不同的随机盐 我的问题是 如果对我们的数据库进行无限制的访问 并且攻击者至少知道一个秘密值和哈希值对

热门标签