Voozh

维基百科，自由的百科全书

此條目翻譯品質不佳，原文在en:MD5。 (2025年8月20日)
此译文可能不准确、不流畅。請在熟悉中文和理解原文文本的前提下，協助翻譯本條目或重新編寫。请避免出現翻译腔，并不要使用未经校对的机器翻译。明顯拙劣的翻譯請改掛{{d|G13}}提交刪除。

MD5
概述
设计者	罗纳德·李维斯特
首次发布	1992年4月
系列	MD2、MD4、MD5、MD6
密码细节
摘要长度	128位元
分组长度	512位元
结构	Merkle–Damgård construction（英语：Merkle–Damgård construction）
重复回数	4^[1]

MD5訊息摘要演算法（英語：MD5 Message-Digest Algorithm），一種被廣泛使用的密碼雜湊函數，可以產生出一個128位元（16個字节）的散列值（hash value），用于确保信息传输完整一致。MD5由美國密碼學家罗纳德·李维斯特（Ronald Linn Rivest）設計，於1992年公開，用以取代MD4演算法。這套演算法的程序在 RFC 1321 中被加以規範。

将数据（如一段文字）运算变为另一固定长度值，是雜湊算法的基础原理。

1996年後被證實存在弱點，可以被加以破解，對於需要高度安全性的資料，專家一般建議改用其他演算法，如SHA-2。2004年，證實MD5演算法無法防止碰撞攻击（英语：Collision_attack），因此不適用於安全性認證，如SSL 公開金鑰認證或是數位簽章等用途。

历史与密码学

[编辑]

1992年8月，罗纳德·李维斯特向互联网工程任务组（IETF）提交了一份重要文件，描述了这种算法的原理。由于这种算法的公开性和安全性，在90年代被广泛使用在各种程序语言中，用以確保资料傳遞無誤等。^[2]

MD5由MD4、MD3、MD2改进而来，主要增强算法复杂度和不可逆性。

应用

[编辑]

MD5曾被用於檔案校驗、SSL/TLS、IPsec、SSH，但MD5早已被發現有明顯的缺陷。

算法

[编辑]

👁 Image

Figure 1. 一个MD5运算— 由类似的64次循环构成，分成4组16次。F 一个非线性函数；一个函数运算一次。M_i 表示一个 32-bits 的输入数据，K_i 表示一个 32-bits 常数，用来完成每次不同的计算。

MD5是輸入不定長度信息，輸出固定長度128-bits的演算法。经过程序流程，生成四个32位数据，最后联合起来成为一个128-bits散列。基本方式为，求餘、取餘、调整长度、与链接变量进行循环运算。得出结果。

👁 {\displaystyle F(X,Y,Z)=(X\wedge {Y})\vee (\neg {X}\wedge {Z})}

👁 {\displaystyle G(X,Y,Z)=(X\wedge {Z})\vee (Y\wedge \neg {Z})}

👁 {\displaystyle H(X,Y,Z)=X\oplus Y\oplus Z}

👁 {\displaystyle I(X,Y,Z)=Y\oplus (X\vee \neg {Z})}

👁 {\displaystyle \oplus ,\wedge ,\vee ,\neg }
是 XOR, AND, OR , NOT 的符号。

伪代码

[编辑]

//Note: All variables are unsigned 32 bits and wrap modulo 2^32 when calculating
varint[64]r,k

//r specifies the per-round shift amounts
r[0..15]：={7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22}
r[16..31]：={5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20}
r[32..47]：={4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23}
r[48..63]：={6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21}

//Use binary integer part of the sines of integers as constants:
forifrom0to63
k[i]:=floor(abs(sin(i+1))×2^32)

//Initialize variables:
varinth0:=0x67452301
varinth1:=0xEFCDAB89
varinth2:=0x98BADCFE
varinth3:=0x10325476

//Pre-processing:
append"1"bittomessage
append"0"bitsuntilmessagelengthinbits≡448(mod512)
appendbitlengthofmessageas64-bitlittle-endianintegertomessage

//Process the message in successive 512-bit chunks:
foreach512-bitchunkofmessage
breakchunkintosixteen32-bitlittle-endianwordsw[i],0≤i≤15

//Initialize hash value for this chunk:
varinta:=h0
varintb:=h1
varintc:=h2
varintd:=h3

//Main loop:
forifrom0to63
if0≤i≤15then
f:=(bandc)or((notb)andd)
g:=i
elseif16≤i≤31
f:=(dandb)or((notd)andc)
g:=(5×i+1)mod16
elseif32≤i≤47
f:=bxorcxord
g:=(3×i+5)mod16
elseif48≤i≤63
f:=cxor(bor(notd))
g:=(7×i)mod16

temp:=d
d:=c
c:=b
b:=leftrotate((a+f+k[i]+w[g]),r[i])+b
a:=temp
Nexti
//Add this chunk's hash to result so far:
h0:=h0+a
h1:=h1+b
h2:=h2+c
h3:=h3+d
EndForEach
varintdigest:=h0appendh1appendh2appendh3//(expressed as little-endian)

MD5散列

[编辑]

一般128位的MD5散列被表示为32位十六进制数字。以下是一个43位长的仅ASCII字母列的MD5散列：

MD5("The quick brown fox jumps over the lazy dog")
= 9e107d9d372bb6826bd81d3542a419d6

即使在原文中作一个小变化（比如用c取代d）其散列也会发生巨大的变化：

MD5("The quick brown fox jumps over the lazy cog")
= 1055d3e698d289f2af8663725127bd4b

空文的散列为：

MD5("")
= d41d8cd98f00b204e9800998ecf8427e

缺陷

[编辑]

2004年的國際密碼討論年會（CRYPTO）尾聲，王小雲及其研究同事展示了寻找MD5、SHA-0及其他相關雜湊函數的雜湊衝撞的新方法^[3]。所謂雜湊衝撞指兩個完全不同的訊息經雜湊函數計算得出完全相同的雜湊值。根據鴿巢原理，以有長度限制的雜湊函數計算沒有長度限制的訊息是必然會有衝撞情況出現的。在此之前，已有一些研究者在有约束条件下找到多对哈希冲撞^[4]^[5]。

2009年，中國科學院的謝濤和馮登國仅用了2^20.96的碰撞算法複雜度，破解了MD5的碰撞抵抗，该攻击在普通计算机上运行只需要数秒钟^[6]。

2011年，RFC 6151 禁止MD5用作金鑰雜湊訊息鑑別碼。

参见

[编辑]

参考文献

[编辑]

^ RFC 1321, section 3.4, "Step 4. Process Message in 16-Word Blocks", page 5.
^ 梁斌. 第3章“搜索引擎的下载系统”第4节“网页抓取原理”. 走进搜索引擎. 孙学瑛 (责任编辑) 第1版. 电子工业出版社. 2007年10月: 51. ISBN 978-7-121-04922-4 （中文（中国大陆））. 使用|accessdate=需要含有|url= (帮助)
^ Wang, Xiaoyun; Feng, Dengguo; Lai, Xuejia; Yu, Hongbo. Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD. 2020-06-09 [2020-06-09]. （原始内容存档于2020-06-09） –通过ePrint IACR.
^ den Boer, Bert; Bosselaers, Antoon. Collisions for the compression function of MD5. Advances in Cryptology — EUROCRYPT ’93. Berlin, Heidelberg: Springer Berlin Heidelberg. 1994: 293–304. ISBN 978-3-540-57600-6. ISSN 0302-9743. doi:10.1007/3-540-48285-7_26.
^ Wang, Xiaoyun; Lai, Xuejia; Feng, Dengguo; Chen, Hui; Yu, Xiuyuan. Cryptanalysis of the Hash Functions MD4 and RIPEMD. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer Berlin Heidelberg. 2005: 1–18. ISBN 978-3-540-25910-7. ISSN 0302-9743. doi:10.1007/11426639_1.
^ Tao Xie and Dengguo Feng. How To Find Weak Input Differences For MD5 Collision Attacks (PDF). 30 May 2009 [2010-09-21]. （原始内容存档 (PDF)于2012-05-05）.

Berson, Thomas A. Differential Cryptanalysis Mod 2³² with Applications to MD5. EUROCRYPT: 71–80. 1992. ISBN 978-3-540-56413-3.
Bert den Boer; Antoon Bosselaers. Collisions for the Compression Function of MD5. 1993: 293–304. ISBN 978-3-540-57600-6. |booktitle=被忽略 (帮助)
Hans Dobbertin, Cryptanalysis of MD5 compress. Announcement on Internet, May 1996 [1] （页面存档备份，存于互联网档案馆）.
Dobbertin, Hans. The Status of MD5 After a Recent Attack. CryptoBytes. 1996, 2 (2) [2006-07-30]. （原始内容存档于2006-08-13）.
Cong, Zijie. 提高哈希安全性的一些错误做法. Clifton Labratory. 2009.^{[失效連結]}

外部链接

[编辑]

W3C對於MD5的建議（页面存档备份，存于互联网档案馆）
MD5哈希生成器（页面存档备份，存于互联网档案馆）

查论编雜湊函數 & 訊息鑑別碼
列表比较已知攻击
常用函数	SHA-1 SHA-2 SHA-3/Keccak BLAKE2
SHA-3入围（英语：NIST hash function competition）	BLAKE Grøstl JH（英语：JH (hash function)） Skein（英语：Skein (hash function)） Keccak（胜出）
其他函数	CubeHash（英语：CubeHash） ECOH（英语：Elliptic curve only hash） FSB（英语：Fast Syndrome Based Hash） GOST（英语：GOST (hash function)） HAS-160（英语：HAS-160） HAVAL（英语：HAVAL） Kupyna（英语：Kupyna） LM hash（英语：LM hash） MD2 MD4 MD6 MDC-2（英语：MDC-2） N-Hash（英语：N-Hash） RIPEMD RadioGatún（英语：RadioGatún） SWIFFT（英语：SWIFFT） SipHash（英语：SipHash） Snefru（英语：Snefru） Streebog（英语：Streebog） Tiger（英语：Tiger (cryptography)） VSH（英语：Very smooth hash） WHIRLPOOL（英语：Whirlpool (cryptography)） SM3 X11
密码散列/ 密钥延伸函数	Argon2 Balloon bcrypt Catena（英语：Catena (cryptography)） crypt(3)（英语：Crypt (C)） (DES) LM散列（英语：LAN Manager#LM hash details） Lyra2 Makwa（英语：Makwa (cryptography)） PBKDF2 scrypt yescrypt
通用密钥派生函数	HKDF KDF1/KDF2
MAC算法	DAA（英语：Data Authentication Algorithm） CBC-MAC HMAC OMAC（英语：One-key MAC）/CMAC（英语：CMAC） PMAC（英语：PMAC (cryptography)） VMAC（英语：VMAC） UMAC（英语：UMAC） Poly1305
认证加密模式	CCM CWC EAX GCM IAPM OCB（英语：OCB mode）
攻击	碰撞攻击（英语：Collision attack）原像攻击生日攻击穷举攻击/蛮力攻击彩虹表旁路攻击长度扩展攻击
设计	雪崩效应碰撞默克尔-达姆加德结构（英语：Merkle–Damgård construction）
标准化	CRYPTREC（英语：CRYPTREC） NESSIE（英语：NESSIE） NIST散列函数竞赛（英语：NIST hash function competition）
实际应用	盐密钥延伸信息鉴定

查论编密码学
密码学历史密码分析密碼學主題列表
對稱密鑰加密分组密码流密码公开密钥加密密碼雜湊函數訊息鑑別碼随机数隐写术
👁 Image 分类 👁 Image 主题 👁 Image 专题

检索自“https://zh.wikipedia.org/w/index.php?title=MD5&oldid=89911331”

分类：

隐藏分类：

URL: https://zh.wikipedia.org/wiki/MD5

⇱ MD5 - 维基百科，自由的百科全书

历史与密码学

应用

算法

伪代码

MD5散列

缺陷

参见

参考文献

外部链接