给定哈希算法，是否有更有效的方法来“取消哈希”？除了暴力？

Question

所以我有一个哈希函数的代码，从它的外观来看，没有办法简单地取消它的哈希值（大量的按位与、或、移位等）。我的问题是，如果我需要在散列之前找出原始值，是否有比暴力破解一组可能值更有效的方法？

谢谢！

编辑：我应该补充一点，就我而言，出于我的目的，原始消息永远不会超过几个字符。

EDIT2：出于好奇，有没有什么方法可以在运行时执行此操作，而无需预先计算表？

Answer 1

“Unhashing”被称为“原像攻击”：给定哈希输出，找到相应的输入。

如果哈希函数是“安全的”，那么没有比尝试可能的输入直到找到命中更好的攻击了；对于具有 n 位输出的哈希函数，哈希函数调用的平均次数约为 2ⁿ，即对于如果 n 大于 180 左右，则采用当前的地球技术。换句话说：对于给定的哈希函数，如果找到比该暴力方法更快的攻击方法，则该哈希函数被视为不可修复地损坏。

MD5被认为已被破坏，但由于其他弱点（有一种已发布的原像方法，其成本为2^123.4，因此，这比暴力破解成本快了大约 24 倍——但到目前为止，它在技术上仍然不可行，无法得到证实）。

当已知哈希函数输入是相对较小空间的一部分时（例如，它是一个“密码”，因此它可以适合人类用户的大脑），则可以通过使用预先计算的表来优化原像攻击：攻击者仍然需要支付一次搜索成本，但他可以重复使用他的表来攻击多个实例。彩虹表是预先计算的表，具有节省空间的压缩表示形式：使用彩虹表，攻击者的瓶颈是 CPU 能力，而不是硬盘的大小。

Answer 2

假设“正常情况”，原始消息将比哈希值长很多倍。因此，原则上绝对不可能从哈希中导出消息，因为您无法计算不存在的信息。

但是，您可以猜测什么可能是正确的消息，并且存在一些技术可以加速常见消息（例如密码）的此过程，例如彩虹表。如果哈希值匹配，那么看起来合理的消息很可能就是正确的消息。

最后，可能根本不需要找到好消息，只要能找到一条会传递的消息即可。这是已知的 MD5 攻击的主题。这种攻击可以让您创建一条不同的消息，该消息给出相同的哈希值。
这是否是一个安全问题取决于您使用哈希值的具体用途。

Answer 3

这可能听起来微不足道，但如果您有哈希函数的代码，您始终可以重写哈希表容器类的 hash() 函数（或类似函数，具体取决于您的编程语言和环境）。这样，您可以对 3 个或更少字符的字符串进行哈希处理，然后可以将哈希值存储为密钥，通过该密钥您可以获得原始字符串，这似乎正是您想要的。我想，使用这种方法来构建你自己的彩虹表。如果您有要在其中查找这些值的程序环境的代码，则可以随时修改它以将哈希值存储在哈希表中。

Answer 4

是的; 彩虹表攻击。对于较短字符串的哈希值尤其如此。即像“true”“false”“etc”这样的小字符串的哈希值可以存储在字典中并可以用作比较表。这大大加快了破解过程。此外，如果散列大小很短（即 MD5），则算法变得特别容易破解。当然，解决这个问题的方法是在对密码进行哈希处理之前将“加密盐”与密码结合起来。

关于此事有两个非常好的信息来源：编码恐怖：彩虹哈希破解 和
维基百科： Rainbow 表

编辑：Rainbox 表可以标记数十 GB，因此下载（或复制）它们可能会仅仅进行简单的测试就需要几周的时间。相反，似乎有一些在线工具可以反转简单的哈希值： http://www.onlinehashcrack.com/ （即尝试反转 463C8A7593A8A79078CB5C119424E62A，这是单词“crack”的 MD5 哈希值）