为什么对 UUID 进行 MD5 处理不是一个好主意？

Question

PHP 有一个 uniqid() 函数，可以生成某种 UUID。

在用法示例中，它显示以下内容：

$token = md5(uniqid());

但在注释中，有人这么说：

从唯一 ID 生成 MD5 是 幼稚并降低了很多价值 唯一的ID，以及提供 显着的（可攻击的）限制 MD5 域。 那是一个深深的 破碎的事情要做。 正确的 方法是使用唯一的ID 它自己的; 它已经准备好了 无碰撞。

如果是的话，为什么这是真的？ 如果 MD5 哈希对于唯一 ID 而言（几乎）是唯一的，那么对 uniqid 进行 md5 处理有什么问题呢？

Answer 1

UUID 为 128 位宽，并且其生成方式具有固有的唯一性。 MD5 哈希值的宽度为 128 位，不保证唯一性，仅保证较低的冲突概率。 MD5 哈希不小于 UUID，因此它对存储没有帮助。

如果您知道哈希值来自 UUID，则攻击会更容易，因为如果您了解有关生成 UUID 的机器的任何信息，则有效 UUID 的域实际上是相当可预测的。

如果您需要提供安全令牌，那么您需要使用加密安全随机数生成器。 (1) UUID 并非旨在加密安全，仅保证唯一。 由唯一机器标识符（通常是 MAC）和时间限制的单调递增序列仍然是一个完全有效的 UUID，但如果您可以从令牌序列对单个 UUID 进行逆向工程，那么它是高度可预测的。

1. 加密安全 PRNG 的定义特征是给定迭代的结果不包含足够的信息来推断下一次迭代的值 - 即生成器中存在一些未在数字中显示且无法推断的隐藏状态通过检查 PRNG 中的数字序列。

   如果您了解数论，您可以找到从生成值序列猜测某些 PRNG 内部状态的方法。 Mersenne Twister 就是此类生成器的一个示例。 它具有隐藏状态，它曾经获得很长的周期，但它在加密上并不安全 - 您可以采用相当小的数字序列并使用它来推断内部状态。 完成此操作后，您可以使用它来攻击依赖于对该序列保密的加密机制。

Answer 2

请注意，uniqid() 不会返回 UUID< /strong>，但是基于当前时间的“唯一”字符串：

$ php -r 'echo uniqid("prefix_", true);'
prefix_4a8aaada61b0f0.86531181

如果多次执行此操作，您将获得非常相似的输出字符串，并且熟悉 uniqid() 的每个人都会识别源算法。 这样就可以很容易地预测下一个将生成的 ID。

md5() 的优点是输出以及特定于应用程序的盐字符串或随机数，是一种更难猜测字符串的方法：

$ php -r 'echo md5(uniqid("prefix_", true));'
3dbb5221b203888fc0f41f5ef960f51b

与普通的 uniqid() 不同，这会产生非常不同的输出微秒。 此外，它不会揭示您的“前缀盐”字符串，也不会显示您在幕后使用 uniqid() 。 在不知道盐的情况下，很难（认为不可能）猜测下一个 ID。

总之，我不同意评论者的观点，并且总是更喜欢使用 md5() 编辑的输出而不是简单的 uniqid()。

Answer 3

MD5 对 UUID 毫无意义，因为 UUID 已经是唯一的且固定长度（短），这些属性是人们经常使用 MD5 的一些原因。 所以我想这取决于您打算对 UUID 做什么，但一般来说，UUID 与某些经过 MD5 处理的数据具有相同的属性，那么为什么要同时进行这两种操作呢？

Answer 4

UUID 已经是唯一的，因此对它们进行 MD5 是没有意义的。

关于安全问题，一般来说，如果攻击者可以预测您将要生成的下一个唯一 ID 是什么，那么您可能会受到攻击。 如果已知您从 UUID 生成唯一 ID，则潜在的下一个唯一 ID 集会小得多，从而为暴力攻击提供了更好的机会。

如果攻击者可以从您那里获取大量唯一 ID，并通过这种方式猜测您生成 UUID 的方案，则尤其如此。

Answer 5

版本 3 的 UUID 已经经过 MD5 处理，因此没有意义再做一次。 但是，我不确定 PHP 使用哪个 UUID 版本。

Answer 6

顺便说一句，MD5 实际上已过时，从 2010 年起不再用于任何值得保护的内容 - PHI、PII 或 PCI。 美联储已经强制执行了这一规定，任何不合规的实体都将支付大量的罚款。