建议使用什么替代MD5？

#1 楼

这取决于您要使用哈希函数的用途。

对于签名文档，sha2（例如sha512）被认为是安全的。

对于存储密码，您应该使用一个专用于此目的的算法：e。 G。 bcrypt，sha512crypt或scrypt。为了放慢攻击者的速度，这些算法通过基于当前回合数的输入多次应用哈希函数。

Scrypt使这一概念更进一步，并使用了大量的内存。用于密码破解的典型硬件可以访问大约几个KB的内存，scrypt的默认配置需要16 MB。

#2 楼

在将MD5替换为哈希函数的选项中：


如果可能的话，应增加哈希的宽度以增强抗碰撞能力，并至少使用- SHA-2或新的SHA-3系列的256位成员。使用Paul C. van Oorschot和Michael J. Wiener的Parallel Collision，可以通过受过教育的蛮力和大约$ 2 ^ {65} $哈希（对于相当快的哈希和现代方法来说是可行的）来破坏任何128位哈希的抗碰撞性使用密码分析应用程序进行搜索（《密码学杂志》，1999年1月，第12卷，第1期；可从第一作者的网站上免费获得较早的早期版本）。在抗碰撞性不是问题的应用中（也许在HMAC中）是合理的。


值得研究的候选产品是RIPEMD-128，它是MD5的引脚兼容替代品，并带有名称。 RIPEMD-128使用与RIPEMD-160相同的安全性参数（尽管使用4组回合而不是5组）。 RIPEMD-160反过来又是AFAIK唯一的标准不间断的160位哈希，并且在禁止所有小于256位的哈希之前，一直享有被欧洲密码当局审查的地位。 RIPEMD-128在2013年末受到威胁，这是一次攻击（理论上），它发现不同链式变量输入的回合函数发生冲突，其工作量比暴力破解少5倍。但是，RIPEMD128不应被视为已损坏（如此评论中所述），因为该攻击不会对不同消息产生哈希冲突，并且并未扩展到该冲突（据我所知，截至2017年初）。但是，俗话说，攻击只会变得更好。他们永远不会变得更糟。
尽管进行了部分攻击，但是如果更改的目的是从规范中删除MD5一词，而又不作任何更改，又不降低速度，则RIPEMD-128仍将是比MD5更好的选择，而这是局部攻击时的最佳选择。或需要更多内存。注意：RIPEMD是RIPEMD-128的祖先，它像MD5一样被破坏，因此绝对不能使用。
如果您放松一些，比较保守的选择是SHA-256的前128位。 “带有名称”和性能限制只是一点点。对此的攻击将被视为SHA-256攻击，尽管付出了巨大的努力并减少了变种的攻击，但该攻击到2017年3月仍未中断。对SHA-256的前128位的最著名的攻击是冲突搜索（请参阅此答案的开头）。




MD5通常是用于保护登录信息（包括密码）或通过密码生成密钥。在这样的应用程序中，使用任何快速散列是一个糟糕的设计选择，并且您想使用适当的密钥扩展。我以前曾建议在约束允许的情况下使用scrypt（即：有足够的内存；可以有效地实现Salsa-20；并且可以适当地安全地实现SHA-256，如果考虑DPA，则可能很难）；或bcrypt（如果不能选择scrypt）；如果不可行，则使用一些PBKDF2和足够的迭代参数。现在我们有了Argon2，它将接管这些。

#3 楼

SHA2或SHA 3哈希值之一；如果它们之间没有任何偏好，请选择SHA256。

您可能会听到有关SHA-3的256位版本是“较新”的说法，因此应首选。恕我直言，较旧的安全密码学（即，在密码分析中生存时间更长的密码学）通常是首选；但是SHA-3似乎没有问题。

#4 楼

关于SHA-3呢，与SHA-256和SHA-512不同，它使用海绵构造代替Merkle-Damgård构造，这暗示了对长度扩展攻击的抵抗力。