面试编程基本功的时候,很常见的一个题目是:
判断两个字符串是否完全相同?
画外音:先别急着退,没收获你锤我。
很多同学能够很快的写出对应的代码:
public static boolean isEqual(byte[] a, byte[] b) {
// 先判断长度是否相同
if (a.length != b.length) {
// 长度不同,返回false
return false;
}
// 一个一个字符,循环遍历判断
for (int i = 0; i < a.length; i ) {
if (a[i] != b[i]) {
// 只要一个字符不同,返回false
return false;
}
}
// 全部字符相同,返回true
return true;
}
代码没有问题,甚至JDK底层,也是这么实现的。
然而,MessageDigest.isEqual却被报了bug,并在JDK 1.6.0_17中被fix成了以下的版本:
public static boolean isEqual(byte[] a, byte[] b) {
// 先判断长度是否相同
if (a.length != b.length) {
// 长度不同,返回false
return false;
}
// 返回结果初始化
int result = 0;
// 一个一个字符,循环遍历判断
for (int i = 0; i < a.length; i ) {
// 字符串比较,采用了“按位异或”
// 每一个比较结果,都“按位或”给了返回结果
result |= a[i] ^ b[i];
}
// 返回结果为0,说明字符串全部相同,返回true
return (result == 0);
}
初看代码,是不是觉得蒙圈?
下面我们来一步步分析一下。
首先,字符比较,升级成了“按位异或”。
这个不难理解,对于两个字符x和y:
(1)如果x == y,则有 x^y == 0
(2)如果x != y,则有 x^y != 0
其次,就代码的正确性来说,新代码并没有问题:
(1)当所有字符都相同时,result必为0,两个字符串才完全相同,返回true;
(2)只要有两个字符不同,result必不为0,一定会返回false;
同时,当输入的参数,是两个相同的字符串时,新旧算法的时间复杂度是相同的:都需要遍历每一个字符,然后返回true。
可是,当输入的参数,是两个不同的字符串时:
(1)旧版本代码,只要发现两个字符串有1个字符不同,直接返回false;
(2)新版本代码,会坚持检查完所有字符,再返回false;
这里大家就要有疑问了,新版本的代码,性能不是降低了吗?
要更彻底的解释这个问题,先得从计时攻击(Timing Attack)说起。
传统的hacker,如何破解密码?
最常见的,采用暴力穷举破解。但当密码位数较长,字符值域较广的时候,破解难度较大。
新型计时攻击(Timing Attack),是怎么破解密码?
第一步,要猜测密码的长度。
hacker不停的测试不同长度的“探测密码”,然后对执行时间进行计时。
hacker可以使用:
a
aa
aaa
aaaa
...
作为探测密码。
在进行完N倍放大(执行很多遍)之后,hacker会发现,有一个长度为N的“探测密码”,执行的时间比其他时间都更长一些。以此来定位,密码的长度为N位。
为什么执行时间更长的N位“探测密码”,就代表真正的密码也是N位呢?
仔细观察旧版本的isEqual代码实现。
(1)如果探测密码与真实密码长度不同
代码执行到
(a.length != b.length)
就返回false了。
(2)如果探测密码与真实密码长度相同
代码会进入到for循环,执行到
(a[i] != b[i])
才会返回false。
正是利用了这一点点执行时间的差异,hacker就能够确定真实密码的长度。
确定了真实密码的长度之后,第二步,确定密码的第一位字符。
画外音:假设第一步探测出真实密码的长度N=4。
hacker不停的测试首位不同的“探测密码”,然后对执行时间进行计时。
hacker使用:
aaaa
baaa
caaa
daaa
...
作为探测密码。
在进行完N倍放大(执行很多遍)之后,hacker会发现,有一个首位字母为x的“探测密码”,执行的时间比其他时间都更长一些。以此来定位,真实密码的首位为x。
为什么执行时间更长的,首位字母为x的“探测密码”,能够确认真实密码的首位为x呢?
仔细观察旧版本的isEqual代码实现。
(1)如果探测密码与真实密码首位字母不同
代码在for循环里,第一次
(a[i] != b[i])
就返回false了。
(2)如果探测密码与真实密码首位字母相同
代码在for循环里,第二次
(a[i] != b[i])
才会返回false。
正是利用了这一点点执行时间的差异,hacker就能够确定真实密码的首位为x。
采用相同的方法,通过N次不断的计时攻击,hacker最终能够破解出真实密码的每一位字符。
只能说,hacker太牛逼了!!!
画外音,一定有杠精说攻击不可行:
(1)已经有hacker用此方法破解了OpenSSL 0.9.7的RSA,以及基于此OpenSSL的web-server;
(2)各大语言的字符串安全比较,基本都已经升级;
如何抵御计时攻击呢?
这就要回到新版本的isEqual代码了。
新版本的isEqual,采用了一种固定时间的字符串比较方法(time-constant comparison)。
for (int i = 0; i < a.length; i ) {
result |= a[i] ^ b[i];
}
不管探测密码与真实密码第几位不同,进行比较的时间,都是相同的。
这是一个效率与安全性的设计折衷。
画外音:非攻击者输入正确的密码时,新版本isEqual效率没有损失。
帅气不帅!!!
希望这1分钟,大家有收获,转发,在看。
