MD5和Base64

一. 简述

MD5: 全称为message digest algorithm 5(信息摘要算法), 可以进行加密, 但是不能解密, 属于单向加密, 通常用于文件校验

Base64: 把任意序列的8位字节描述为一种不易为人识别的形式, 通常用于邮件、http加密. 登陆的用户名和密码字段通过它加密, 可以进行加密和解密.

MD5与Base64的思考

MD5加密是对任意长的数据使用MD5哈稀算法散列为4个32位组,若格式化为ASCII字符则为16字符,若格式化16进制表示,则为32字符. (MD5的具体算法请参阅相关书籍和资料)

MD5广泛用于数据校验和完整性检验.且不可逆.理论上为抗碰撞的

在2004年8月17日,MD5遭遇重创,山东大学的王小云做了破译MD5、HAVAL-128、 MD4和RIPEMD算法的报告。看来MD5会正式让位于SHA1了.

回到正题,后来我发现在Asp.Net2.0自带的Membership中的用户密码可以使用MD5加密保存,而据我分析,其并非十六进制格式化字符串,而是采用Base64编码保存.

Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一，大家可以查看RFC2045～RFC2049，上面有MIME的详细规范。

Base64要求把每三个8Bit的字节转换为四个6Bit的字节（3*8 = 4*6 = 24），然后把6Bit再添两位高位0，组成四个8Bit的字节，也就是说，转换后的字符串理论上将要比原来的长1/3。

这样一来,方案就基本定下来,MD5加密后再Base64编码.后来我又发现一 个问题,若单纯这样做,会有一个问题,那就是如果两个用户密码相同,就会导致在数据库中保存的数据一样, 回想当初学认证理论的时候,讲过可以用盐值来解决这个问题,就是给每个用户生成一个随机的盐值,在作保存和校验时,需要把用户的Salt值加入到密码原文 中再作MD5运算,这样就可以使得相同的密码生成不同的编码.

OK,完.

转换后，我们用一个码表来得到我们想要的字符串（也就是最终的Base64编码），这个表是这样的：（摘自RFC2045）

Table 1: The Base64 AlphabetValue Encoding Value Encoding Value Encoding Value Encoding0 A 17 R 34 i 51 z1 B 18 S 35 j 52 02 C 19 T 36 k 53 13 D 20 U 37 l 54 24 E 21 V 38 m 55 35 F 22 W 39 n 56 46 G 23 X 40 o 57 57 H 24 Y 41 p 58 68 I 25 Z 42 q 59 79 J 26 a 43 r 60 810 K 27 b 44 s 61 911 L 28 c 45 t 62 +12 M 29 d 46 u 63 /13 N 30 e 47 v14 O 31 f 48 w (pad) =15 P 32 g 49 x16 Q 33 h 50 y

原文的字节数量应该是3的倍数啊，如果这个条件不能满足的话，那该怎么办呢？我们的解决办法是这样的：原文的字节不够的地方可以用全0来补足，转换时 Base64编码用=号来代替。这就是为什么有些Base64编码会以一个或两个等号结束的原因，但等号最多只有两个。因为：

余数 = 原文字节数 MOD 3

所以余数任何情况下都只可能是0，1，2这三个数中的一个。如果余数是0的话，就表示原文字节数正好是3的倍数（最理想的情况啦）。如果是1的话，为了让Base64编码是4的倍数，就要补2个等号；同理，如果是2的话，就要补1个等号。

二. 代码

1. MD5:

    public class MD5Utils {          /**          * 使用md5的算法进行加密          * @param plainText 加密明文          * @return 加密密文          */          public static String getDigest(String plainText) {              byte[] secretBytes = null;              try {                  secretBytes = MessageDigest.getInstance("md5").digest(plainText.getBytes());              } catch (NoSuchAlgorithmException e) {                  throw new RuntimeException("error happens", e);              }              return new BigInteger(1, secretBytes).toString(16);          }      }  

2. Base64:

public class Base64Util {      /**      * 使用Base64进行编码      * @param encodeContent 需要编码的内容      * @return 编码后的内容      */      public static String encode(String encodeContent) {           if (encodeContent == null) {              return null;          }          BASE64Encoder encoder = new BASE64Encoder();           return encoder.encode(encodeContent.getBytes());      }      /**      * 使用Base64进行编码      * @param encodeContent 需要编码的内容      * @return 编码后的内容      */      public static String encode(byte[] encodeText) {           return encode(new String(encodeText));      }      /**      * 使用Base64进行解码      * @param encodeContent 需要解码的内容      * @return 解码后的内容      */      public static String decode(String decodeContent) {           byte[] bytes = null;           if (decodeContent == null) {              return null;          }          try {              bytes = new BASE64Decoder().decodeBuffer(decodeContent);          } catch (IOException e) {              throw new RuntimeException("error happens", e);          } finally {          }          return new String(bytes);      }  } 

3. 测试代码:

public class Test {      /**      * 先使用MD5算法加密, 再使用base64算法进行编码      * @param args      */      public static void main(String[] args) {           String plainText = "pwd";             String encodedPassword = MD5Utils.getDigest(Base64Util.encode(plainText));            System.out.println(encodedPassword);      }  }

为什么使用MD5加密后还要使用Base64编码呢? 用Base64算法编码后得到的是32位长度的字符串, 这样有利于在数据库中进行存储.

解密MD5+base64的密码

见到一些如下的口令

    {md5}9Vpj/14PYtcgxCHkCuqcAQ==:      {md5}z7b610ZQDh7/R2WqwQG1Gw==:      {md5}k3R2hHEREuoxRCuUZL5gAw==:      {md5}GFNJtgcqe/a7sYpBnoK1MQ==:      {md5}ySDeNlg9OelKzFOfnbmgdA==:      {md5}q+jkNernTnAHBhMcvTsPzw==:  

可知其为md5加密的，末尾的==又暴露了其经过base64的加密。

网上有一款名为Base64Hex的软件可以轻易的将其还原为标准的MD5加密的结果，转而用http://md5ss.sinaapp.com/ 即可解密出来。

---

在Java中使用MD5和BASE64

MD5：

MD5可以将所有的数字组合进行一个算法的运算得出一个新的数字组合，并且这个新的数字组合都是128位，也称为MD5码。MD5码是不可逆的，即无法通过MD5码来进行反向运算得到原始的数据。MD5的应用场合非常多，比如保存用户密码（防止数据库中用户密码被管理员看到，所以数据库中的密码不许使用明文密码），或者文件校验（防止下载的文件是被别人修改后的文件而不是官方原文件，比如苹果开发工具的XCodeGhost事件），或者光盘破损校验等等。

　　在Java中通过MessageDigest对象来调用方法获取某些数字组合的MD5码（顺便说一句，MessageDigest也可以用来获取SHA校验码）。通过MessageDigest对象调用digest方法来将数字组合转变为字符数组：

String data = "1";    MessageDigest md = MessageDigest.getInstance("md5");byte[] md5 = md.digest(data.getBytes());System.out.println(Arrays.toString(md5));

获得的字节数组都是128位，即16字节。换句话说经过MD5后的字符数组中有16个元素，因为Java中byte的范围为-128~127,所以每个元素都在这范围内：

注意，经过md5后的字符数组中含有负数元素，因此如果将这个字符数组进行转换成字符串，查询GB2312或者UTF-8都是不合适的会出现乱码例如：

String sData = new String(md5,"utf-8");System.out.println(sData);

那么我们将如何使这个字节数组转换成一个没有乱码的字符串作为一种随机数？我们可以采用“Base64”编码。

Base64编码：

　　Base64编码是把每3个8位字节（3*8=24）转成4个6位字节（4*6=24），且在每个6位字节前补两个0，重新形成8位一个字节的形式，这样总的长度还是相同的，并且保证最高位不是1（即不是负数）。

　　如果最后剩下的字符不足3个字符，则用0填充高位，输出字符使用“=”。因此编码后的字符串末尾可能会出现一个或两个“=”。

　　根据上述原理，最高两位均为0，那么剩下6位全为1二进制对应的十进制为63，所以最大数不会超过63，根据这64个数进行一个码值与字符的对应，就成了base64编码，对应编码表如下图所示：

在Java中我们使用BASE64Encoder对象调用encode方法来将某个字节数组进行编码。

我们将上面的MD5码进行base64编码：

BASE64Encoder be = new BASE64Encoder();String base64 = be.encode(md5);System.out.println(base64);

可以看到这时将乱码都对应成字符了：

注意，BASE64Encoder无法查看其API文档，因为sun公司没有将其正式发布出来，也就没有相应的javadoc文档可以查阅。只能通过下载相应的jar包或者通过网上查阅，如果在开发IDE中发现无法找到sun.misc.BASE64Encode请在网上下载这个JAR包并导入即可。