基于密码加密

A. 十大常见密码加密方式

一、密钥散列

采用MD5或者SHA1等散列算法，对明文进行加密。严格来说，MD5不算一种加密算法，而是一种摘要算法。无论多长的输入，MD5都会输出一个128位（16字节）的散列值。而SHA1也是流行的消息摘要算法，它可以生成一个被称为消息摘要的160位（20字节）散列值。MD5相对SHA1来说，安全性较低，但是速度快；SHA1和MD5相比安全性高，但是速度慢。

二、对称加密

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密。对称加密算法中常用的算法有：DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。

三、非对称加密

非对称加密算法是一种密钥的保密方法，它需要两个密钥来进行加密和解密，这两个密钥是公开密钥和私有密钥。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。非对称加密算法有：RSA、Elgamal、背包算法、Rabin、D-H、ECC（椭圆曲线加密算法）。

四、数字签名

数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是在使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。

五、直接明文保存

早期很多这样的做法，比如用户设置的密码是“123”，直接就将“123”保存到数据库中，这种是最简单的保存方式，也是最不安全的方式。但实际上不少互联网公司，都可能采取的是这种方式。

六、使用MD5、SHA1等单向HASH算法保护密码

使用这些算法后，无法通过计算还原出原始密码，而且实现比较简单，因此很多互联网公司都采用这种方式保存用户密码，曾经这种方式也是比较安全的方式，但随着彩虹表技术的兴起，可以建立彩虹表进行查表破解，目前这种方式已经很不安全了。

七、特殊的单向HASH算法

由于单向HASH算法在保护密码方面不再安全，于是有些公司在单向HASH算法基础上进行了加盐、多次HASH等扩展，这些方式可以在一定程度上增加破解难度，对于加了“固定盐”的HASH算法，需要保护“盐”不能泄露，这就会遇到“保护对称密钥”一样的问题，一旦“盐”泄露，根据“盐”重新建立彩虹表可以进行破解，对于多次HASH，也只是增加了破解的时间，并没有本质上的提升。

八、PBKDF2

该算法原理大致相当于在HASH算法基础上增加随机盐，并进行多次HASH运算，随机盐使得彩虹表的建表难度大幅增加，而多次HASH也使得建表和破解的难度都大幅增加。

九、BCrypt

BCrypt 在1999年就产生了，并且在对抗 GPU/ASIC 方面要优于 PBKDF2，但是我还是不建议你在新系统中使用它，因为它在离线破解的威胁模型分析中表现并不突出。

十、SCrypt

SCrypt 在如今是一个更好的选择：比 BCrypt设计得更好（尤其是关于内存方面）并且已经在该领域工作了 10 年。另一方面，它也被用于许多加密货币，并且我们有一些硬件（包括 FPGA 和 ASIC）能实现它。 尽管它们专门用于采矿，也可以将其重新用于破解。

B. java如何读取一个加密后的.xls文件

近日来，研究了一下Excel Biff8（xls 97-2007）与OpenXML（ECMA-376）的加密文档的读取（这还是为了我们世界先进Grid而做的 ^__^）。有些成果，写在这里，希望能给要做类似功能的XD们一些参考。
如有不详，请联系：[email protected] / [email protected]
前提：
1. 加密文档：指Wookbook级的加密，就是在Save Excel文档时在General Settings中设置open password之后的文档；
2. 打开：需要用户传入密码。并非破解。但请勿将本文方法添加暴力模块使用 :-) ；
3. 本文涉及较多为，密钥计算，关于解密细节请参考微软相关文档；
使用的加密算法： RC4, SHA1, MD5, AES-128（其中RC4并不包含在所有版本的.NET Framework中，AES算法可以在.NET Framework 3.5中找到）
本文示例依赖 .NET Framework 3.5

A. Biff8 的加密文档读取
1. 通过文档中FILEPASS的record取得，文档的加密信息（关于Biff文档的格式问题，请参阅Biff的微软文档）
其中Biff8可以使用两种方法加密：Biff8标准加密算法和Biff8扩充加密算法。本文主要讨论最常用的Biff标准加密算法
2. 通过FILEPASS的结构，获得如下信息：
salt（加密随机数，16 bytes）
password verifier （密码效验器，16 bytes）
password verifier hash（密码效验器Hash，16 bytes）
3. 通过以上信息，生成解密key。并通过密码效验器，验证密码：
i. 将密码转化成unicode数组，并进行MD5 Hash；
ii. 将hash结果与salt串联，然后将byte数组，反复串联16次（336 bytes） ，然后再进行MD5 Hash；
iii. 将上步hash结果的前五位，串联上4 bytes的block值（在密码验证阶段为0，在以后解密阶段为block的index） ，然后进行MD5 Hash；
iv. 将上步hash结果的前16位，作为key
v. 使用RC4对称加密算法，将password verifier和password verifier hash分别解密，然后对password verifier的解密结果进行MD5 hash，其值应和password verifier hash的解密结果一致，即为密码正确。
vi. 之后进行逐个record的解密。excel biff8加密原则基本为，record的标示不加密，长度不加密，个别record不加密（见文档）；另外，在record解密时，还需要通过block的值重新计算解密key，block的大小为1024.
4. 详细请参照示例代码；

B. OpenXML(ECMA-376) 加密文档的读取
1. 通常来说，xlsx文件相当于一个zip文件，可以用zip程序，直接打开。而在加密后，为了安全性考虑，微软使用了 structured storage（一种OLE文档存储方式）存储（可以用7-zip或者OLE document viewer打开，windows也有相应API来操作此类结构）。在上述文档中，有一个叫做“EncryptedPackage”加密的package，就是一个zip包通过AES算法进行加密之后的结果。我们将使用和A一样的方式来检查密码，但生成key的方法不同；OpenXML的加密类型也有多种，我们这里就讨论常用的用AES-128进行加密的流程；
2. 通过文档的“EncryptedInfo”部分，需要过的一下信息（关于此部分的结构，请参考[MS-OFFCRYPTO].pdf）
salt（加密随机数，16 bytes）
password verifier （密码效验器，16 bytes）
password verifier hash（密码效验器Hash，32 bytes）
3. 通过以上信息，生成解密key。并通过密码效验器，验证密码：
i. 首先，定义一个H函数，其有两个输入，内部使用SHA1算法将两个输入串联之后的结果hash返回；
ii. 先将salt与password（password的unicode数组）进行H计算，h = H(salt, password) ；
iii.然后设iterator为0x00000000，将其转为4byte的数组，然后进行H计算，h1 = H(iterator, h);
iv.将上面的iterator递增一，然后再与h1进行H计算，h2 = H(iterator,h1)，然后将这个递增和计算过程重复50000次，最后计算过的iterator为49999即可；
v. 现在有计算结果h50000，将h50000再与0x00000000(4 byte数组)进行H计算，Hfinal = H(h50000, 0x00000000)；
vi. 生成一个64byte的数组，将每位都初始化成0x36，然后将这个数组与Hfinal异或；(关于这个地方，微软文档中写的有错误，按照原文的方法生成的key不正确，要不是文档的作者回信告诉我要使用这个法子，就算我想破头也想不出来啊 T__T)
vii.将异或结果，进行SHA1 hash，结果的前16byte就是解密的key；
viii.初始化AES算法，key长度为128，模式为ECB模式，Padding为none； 然后将password verifier 和password verifier hash分别解密；
ix. password verifier 解密后的SHA1 hash结果应该与password verifier hash解密后的前20byte相同；
4. 关于"EncryptedPackage" 的解密则更为简单，只许将“EncryptedPackage”读入，去除前8byte的size信息后，进行AES解密，即为未加密的标准openxml文档。

参考：
[MS-OFFCRYPTO].pdf
[MS-XLS].pdf
ECMA-376 standards

Reply by "winnow", 2008-09-10, 1:17
-----------------------------------------------------
总结一下, 关于这两种基于密码的加密方法, 基本上都是基于RFC2898 建议, 思想是这样:
输入是用户的密码:password, 输出是提供给加密函数的密钥:key.
考虑安全, 需要使同样的password生成的key不一样, 这样用相同的password加密后的结果就无法比较. 需要一个随机数salt.
另外, 为了使暴力破解的代价增大, 考虑使用一个循环多次的过程, 需要循环次数:iteration_count.
概念上, 生成方法为: 将password和salt进行某种运算, 配合一个Hash函数, 以某种方式循环iteration_count次, 在最后的结果里取一部分作为key输出.
具体参照RFC2898中的建议方法PBKDF1和PBKDF2.
这样, 用户输入的密码与一个随机数组合, 经过一定代价的运算, 就生成了可以供加密函数使用的密钥. 使用这个密钥和一个加密函数, 就可以进行加密了.

在应用中, 为了快速判断密码是否错误. 生成一个随机数verifier, 用一个Hash函数计算verifier的hash值:verifier_hash, 分别加密verifier和verifier_hash并保存.
解密的时候, 先分别解密出verifier和verifier_hash, 计算verifier的hash值, 与verifier_hash比较, 如果一致, 即说明密码正确.