应用软件安全编程--21避免使用不安全的哈希算法

在安全性要求较高的系统中，不可使用被业界公认不安全的哈希算法(如 MD2、MD4、MD5、SHA、

SHA1  等)来保证数据的完整性。

对于避免使用不安全的哈希算法的情况，示例1给出了不规范用法(Java 语言)示例。示例2给出 了规范用法(Java 语言)示例。

示例1:

byte[]  b  =  str.getBytes();

MessageDigest md = null;

try {

md  =  MessageDigest.getInstance("MD5");

md.update(b);

 

}catch(NoSuchAlgorithmException  e){

}

 

 

 

以上代码片段中，采用MD5 算法来保证数据的完整性。

示例2:

byte[] b =  str.getBytes();

MessageDigest md = null;

try {

md = MessageDigest.getInstance("SHA-256");

md.update(b);

 

}catch(NoSuchAlgorithmException e){

 

 }

在安全性要求较高的系统中，应采用散列值>=224 比特的 SHA  系列算法(如 SHA-224、SHA-256、SHA-384 和 SHA-512) 来保证敏感数据的完整性。以上代码片段中，使用 SHA-256  算法取代 MD5 算法保证数据完整性。