浅析 Antiy Password Mixer 加密原理
宰父远
江海客(安天实验室首席技术架构师)的《由拖库攻击谈口令字段的加密策略》中简单列出了那些常见于程序员中的错误加密策略,以及一些推荐采用的比较安全的加密策略。同时他也顺带提到了由安天实验室开发的Antiy Password Mixer(算是一种通用的密码加密工具包吧),可供广大开发人员选择。
目前只提供了Python版本,后续还会提供PHP和Ruby版本,如果需要C/C++等其他语言版本的就要付费咯。
简单看了下源码,原理和想像的差不多:
密码密文采用了“sha256(用户名 + 32位随机salt + 密码明文)”,然后与salt以及经过RSA加密后的扩展信息,一同存入Kyoto Cabinet(TC的前身)。
如果硬要存储密码明文的话,会用RSA公钥加密“salt+密码明文”,然后存入KC;必要的时候可用私钥解出密码明文。
另外,在具体算法的选择上也尽可能做到较高安全度,例如hash算法没有选择常用的md5和sha1,而是选择了256bit的sha256;RSA的密钥证书用的是较长的4096位。
搞清楚了原理,大家就能在自己的项目中灵活地去实现了:)
类似资料: