最好的通用摘要函数？

Question

在 2009 年编写一个普通的新应用程序时，就安全性和性能而言，最合理的摘要函数是什么？ （随着条件的变化，我如何在将来确定这一点？）

当 类似 问题< /a> 是 之前询问，答案包括 SHA1、SHA2、SHA-256、SHA-512、MD5、bCrypt 和 Blowfish。

我意识到，在很大程度上，如果明智地使用，其中任何一种都可以发挥作用，但我不想掷骰子随机选择一个。 谢谢。

Answer 1

我会遵循 NIST/FIPS 指南：

2006 年 3 月 15 日：SHA-2 系列
哈希函数（即 SHA-224、
SHA-256、SHA-384 和 SHA-512）可能是
联邦机构用于所有
使用安全哈希的应用程序
算法。 联邦机构应
停止使用 SHA-1 进行数字化
签名、数字时间戳和
其他需要的应用程序
抗碰撞性尽快
实用，并且必须使用SHA-2
这些的哈希函数族
2010年之后的申请。2010年之后，
联邦机构只能使用 SHA-1
适用于以下应用：
基于哈希的消息认证
代码（HMAC）； 密钥派生
函数（KDF）； 和随机数
发生器（RNG）。 无论用途如何，
NIST 鼓励申请并
协议设计者使用 SHA-2
所有新的哈希函数系列
应用程序和协议。

Answer 2

你说“摘要功能”； 据推测，这意味着您想用它来计算“长”消息的摘要（而不仅仅是散列“短”“消息”，如密码）。 这意味着 bCrypt 和类似的选择已经被淘汰； 它们的设计速度很慢，可以抑制对密码数据库的暴力攻击。 MD5 已完全失效，而 SHA-0 和 SHA-1 则过于弱化，不是好的选择。 Blowfish 是一种流密码（尽管您可以在生成摘要的模式下运行它），因此它也不是一个好的选择。

这就留下了几个哈希函数系列，包括 SHA-2、HAVAL、RIPEMD、WHIRLPOOL 等。 其中，SHA-2 系列是密码分析最彻底的，因此我建议一般使用它。 对于典型应用，我建议使用 SHA2-256 或 SHA2-512，因为这两种大小是最常见的，并且将来可能会受到 SHA-3 的支持。

Answer 3

这实际上取决于你需要它做什么。

如果您需要实际的安全性，而轻松发现冲突的能力会损害您的系统，我会使用 SHA-256 或 SHA-512 之类的东西，因为它们受到各个机构的大力推荐。

如果您需要快速的东西，并且可以用来唯一地标识某些东西，但没有实际的安全要求（即，如果攻击者发现碰撞，他们将无法做任何令人讨厌的事情），那么我会使用MD5之类的东西。

从通过生日攻击方法发现碰撞的意义上来说，MD4、MD5 和 SHA-1 已被证明比预期更容易被破解。 RIPEMD-160 很受好评，但只有 160 位，生日攻击只需要 2^80 次操作，因此它不会永远持续下去。 Whirlpool 具有出色的特性，并且看起来是同类产品中最强的，尽管它没有 SHA-256 或 SHA-512 那样的支持 - 从某种意义上说，如果 SHA-256 或 SHA-512 出现问题，您就可以更有可能通过适当的渠道了解此事。