内建模块-hashlib、hmac

hashlib模块

  • 摘要算法简介
    • python的hashlib提供了常见的摘要算法,如MD5、SHA1等等
    • 摘要算法又称为哈希算法、散列算法,它通过一个函数,把任意长度的数据转化为一个长度固定的数据串(通常用16进制的字符串表示),不是加密算法
    • 摘要算法就是通过摘要函数f()对任意长度的数据data计算出固定长度的摘要digest,目的是为了发现原始数据是否被人修改过 (digest-文摘)
    • 摘要算法之所以能够指出数据是否被篡改过,就是因为摘要函数是一个单向函数,计算f(data)很容易,但是通过digest反推data却非常困难
      • 而且对原始数据的一个bit的修改,都会导致计算出的摘要完全不同
      • 但是当数据量很大时,可以分块多次调用update(),最后计算的结果是一样的
  • MD5
    • MD5是最常见的摘要算法,速度很快,生成结果是固定的128bit字节,通常用一个32位的16进制字符串表示
import hashlib

md5 = hashlib.md5()
md5.update('how to use md5 in python hashlib?'.encode('utf-8'))
print(md5.hexdigest())
计算结果如下:
d26a53750bc40b38b65a520292f69306
  • SHA1
    • 另一种长线的摘要算法是SHA1,调用SHA1和调用MD5完全类似
    • SHA1的结果是160bit字节,通常用一个40位的16进制字符串表示
import hashlib

sha1 = hashlib.sha1()
sha1.update('how to use sha1 in '.encode('utf-8'))
sha1.update('python hashlib?'.encode('utf-8'))
print(sha1.hexdigest())
* 比SHA1更安全的算法是SHA256和SHA512,不过越安全的算法不仅越慢,而且摘要长度更长
* 也有可能两个不同的数据通过某个摘要算法得到了相同的摘要,因为任何摘要算法都是把无限多的数据集合映射到一个有限的集合内。这种情况称为碰撞,但是出现的概率不大。
  • 摘要算法应用
    • 可用于存储用户的敏感信息,因为直接明文存储的话,容易数据泄露。
    • 当需要用户信息比对时,可直接计算用户输入的明文口令的MD5,然后和数据库存储的MD5对比,如果一致,说明口令输入正确,如果不一致,口令肯定错误。
    • 由于常用口令的MD5值很容易被计算出来,所以要确保存储的用户口令不是那些已经被计算出来的常用口令的MD5,这一方法通过对原始口令加一个复杂字符串来实现,俗称“加盐”
    • 经过Salt处理的MD5口令,只要Salt不被黑客知道,即使用户输入简单口令,也很难通过MD5反推明文口令。 (salt- 盐)
    • 但是如果有两个用户都使用了相同的简单口令比如123456,在数据库中,将存储两条相同的MD5值,这说明这两个用户的口令是一样的。有没有办法让使用相同口令的用户存储不同的MD5呢?
    • 如果假定用户无法修改登录名,就可以通过把登录名作为Salt的一部分来计算MD5,从而实现相同口令的用户也存储不同的MD5。
  • 要注意摘要算法不是加密算法,不能用于加密(因为无法通过摘要反推明文),只能用于防篡改,但是它的单向计算特性决定了可以在不存储明文口令的情况下验证用户口令。

hmac模块

  • 通过哈希算法,我们可以验证一段数据是否有效,方法就是对比该数据的哈希值,为了防止黑客通过彩虹表根据哈希值反推原始口令,在计算哈希的时候,不能仅针对原始输入计算,需要增加一个salt来使得相同的输入也能得到不同的哈希,这样大大增加了黑客破解的难度
  • 如果salt是我们自己随机生成的,通常我们计算MD5时采用“md5(message + salt)”,但实际上,把salt看成一个“口令”,加salt的哈希就是:计算一段message的哈希时,根据不同口令计算出不同的哈希,要验证哈希,必须同时提供正确的口令。
  • 这就是Hmac算法:Keyed-Hashing for Message Authentication。它通过一个标准算法,在计算哈希的过程中,把key混入计算过程中。(Keyed-Hashing - 密钥哈希 Message Authentication - 消息认证 )
  • 和我们自定义的加salt算法不同,Hmac算法针对所有哈希算法都通用,无论是MD5还是SHA-1。采用Hmac代替自己的salt算法,可以使程序算法更标准,也更安全。
  • python自带的hmac模块实现了标准的Hmac算法,首先准备待计算的原始消息message、随机key、哈希算法
>>> import hmac
>>> message = b'Hello, world!'
>>> key = b'secret'
>>> h = hmac.new(key, message, digestmod='MD5')
>>> # 如果消息很长,可以多次调用h.update(msg)
>>> h.hexdigest()
'fa4ee7d173f2d97ee79022d1a7355bcf'
  • 使用hmac和普通的hash算法非常类似,hmac的输出长度和原始哈希算法的长度一致,需要注意传入的key和message都是bytes类型,str类型需要先编码为bytes。
上一篇:hashlib封装


下一篇:【Python系列专栏】第四十篇 Python中常用内建模块(hashlib)