=========================================
The Shadow Penguin Documents. No. 17
- crypt-md5( )レシピ -
Written by Hariru Feb. 6, 1999
=========================================
1.はじめに
ここで説明するcrypt-md5は、FreeBSDで使われているログインパスワードなどから、
MD5を利用した暗号パスワードを生成します。その生成過程を、C言語のプログラムを
用いて解説していきます。
なお、MD5に関しては、MD5(Message Digest 5)の方で
説明していますのでパスします。
2.基礎
MD5を使ったFreeBSDのパスワード文字列は、たいてい34文字として/etc/passwdや
/etc/master.passwdなどに記述されています。その中には、DESの暗号パスワードなどが
存在する場合があるかも知れませんが、その見分け方は非常に簡単です。
MD5を使ったパスワード文字列は、文字列"$1$"(ここでは仮にmagicと名付けます)で必ず始まるからです。
したがって、ドル記号"$"で始まっていない比較的短い文字列は、DESを使ったパスワードである
可能性が非常に高くなります。
/etc/master.passwdサンプル -------------------------------------------------------------------------------- green:$1$YAt4R49p$a2TplBEa3GIvqL033QaiO0:1100:1100::0:0:Mark Green:/home/green:/bin/sh doug:$1$dcpUJZNA$80ZUAFusotqGOLxVOQhUk/:1101:1100::0:0:Doug Ross:/home/doug:/bin/sh benton:$1$0RdF1Bd4$ENDe9PFHg9Rvgj0rmQHQu.:1102:1100::0:0:Peter Benton:/home/benton:/bin/sh susan:$1$l5BtxUNh$6pZsdSlFDQYAeahaOZ4y1/:1103:1100::0:0:Susan Lewis:/home/susan:/bin/sh --------------------------------------------------------------------------------
サンプルを見てくださればわかりますが、コロン( : )で区切られた2番目のパスワード
フィールドが、各ユーザアカウントの暗号化されたパスワードとなります。
そのパスワードフィールド自体の構造ですが、初めの3文字が見ておわかりの通りmagic。
そして、その次のドル記号まで(0〜8文字)の文字列がランダムに割り当てられたsalt(=お塩)、
残りの22文字がMD5で暗号化された文字列となります。
ちなみにパスワードフィールドの文字列は、区切りの意味で使われているドル記号と
"./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz"
で構成されていています。
3.プログラム
ではでは、プログラムの大まかな流れを説明しましょう。
pw(=パスワード), magic(="$1$"), salt(=お塩)の順に並べた入力メッセージ1を生成する
pw, salt, pwの順番に並べた入力メッセージ2を生成する
入力メッセージ2からMD5を使って、メッセージダイジェスト2を生成する
入力メッセージ1に、pwの文字数(16文字以上なら16文字)だけメッセージダイジェスト2を追加する
入力メッセージ1に、pwの文字数に従った法則で、
pwの先頭文字かNULL(=0x00)を数文字追加する
入力メッセージ1からMD5を使って、メッセージダイジェスト1を生成する
メッセージダイジェスト1を基盤にし、特定の条件で入力メッセージを作りながら、
MD5を1000回行って最終的なメッセージダイジェストを生成する
最終的なメッセージダイジェストから暗号化されたパスワードを生成する
とまあ、こんな感じですね。
もうちょっと追加説明をすると、のpwの文字数に従った法則というのは、pwの文字数を2で
割っていきながら余りがあったときにNULLが追加され、そうでなければpwの先頭文字が
追加されていきます。それがpwの文字数が0になるまで繰り返されます。の特定の条件で
入力メッセージを作りながらっていうのは、言葉じゃ説明しにくいのでプログラムの方を
見てくださいませ。そっちの方がわかりやすいと思います。
余談ですが、このでMD5を1000回も行うっていうのが、いわゆるパスワードクラッカーにとって
青筋が浮かぶところで、サーバ管理者にとっては安らぎを感じるところです。というのも、
John the Ripperなどのパスワードクラックツールは、仮に与えた文字列から暗号パスワードを
造り出して一致するか確かめながらパスワードを探り出すためです。つまり、
一般に使われているDES暗号化よりも、時間がかかるMD5ならクラックに時間がかかるため、
それなりのセキュリティ強化が期待できるというわけなのです。
プログラムに入る前に、プログラムで使われる関数がいくつかありますので、
簡単に説明しておきます。
MD5Init(&a) :aの持つ変数を初期値に設定します MD5Update(&a, b, c) :bからc文字だけ、aのbufferに追加します MD5Final(a, &b) :bの持つbufferにPadやbufferの文字数などを追加して、 MD5の仕上げを行った結果をaに入れます to64(a, b, c) :bのビット列から、c個の文字に変換してaに入れます
実際はそのほかにも細かいことをしているところもあますが、
概念としてはこれでいいと思います。
それでは、お待ちかねのそ〜すプログラム。
---------- crypt-md5.c ----------
#include <stdio.h>
#include <string.h>
#include "md5_h_c.c"
static unsigned char itoa64[] = /* 0 ... 63 => ascii - 64 */
"./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz";
/* to64()は、与えられたl_bitsのビット列から、
* n個の文字に変換してp_strに追加していきます
*/
static void to64(p_str, l_bits, n)
char *p_str;
unsigned long l_bits;
int n;
{
/* l_bitsから6ビットごとに値をとり、
* itoa64[]の配列から1文字取り出していきます
*/
while (--n >= 0) {
*p_str++ = itoa64[l_bits & 0x3f];
l_bits >>= 6;
}
}
/* crypt_md5()では、与えられたpwとsaltから、
* FreeBSDで使われるMD5で暗号化されたパスワード文字列を生成します
*/
char *crypt_md5(pw, salt)
register const char *pw;
register const char *salt;
{
static char *magic = "$1$";
static char passwd[120], *p;
unsigned char final[16];
int s_len, p_len, i;
MD5_CTX ctx, ctx1;
unsigned long l;
/* pwの文字数、saltの文字数を記憶する
* ただし、saltは8文字以内とする
*/
p_len = strlen(pw);
if((s_len = strlen(salt)) > 8) s_len=8;
/* を行います */
MD5Init(&ctx);
MD5Update(&ctx,pw,p_len);
MD5Update(&ctx,magic,3);
MD5Update(&ctx,salt,s_len);
/* ,を行います */
MD5Init(&ctx1);
MD5Update(&ctx1,pw,p_len);
MD5Update(&ctx1,salt,s_len);
MD5Update(&ctx1,pw,p_len);
MD5Final(final,&ctx1);
/* ,,を行います */
for(i = p_len; i > 0; i -= 16)
MD5Update(&ctx,final,(i>16)? 16:i);
memset(final,0,sizeof final);
for (i = p_len; i ; i >>= 1)
if(i & 1)
MD5Update(&ctx,final,1);
else
MD5Update(&ctx,pw,1);
MD5Final(final,&ctx);
/* を行います */
for(i=0;i<1000;i++) {
MD5Init(&ctx1);
if(i & 1)
MD5Update(&ctx1,pw,p_len);
else
MD5Update(&ctx1,final,16);
if(i % 3)
MD5Update(&ctx1,salt,s_len);
if(i % 7)
MD5Update(&ctx1,pw,p_len);
if(i & 1)
MD5Update(&ctx1,final,16);
else
MD5Update(&ctx1,pw,p_len);
MD5Final(final,&ctx1);
}
/* を行います */
strcpy(passwd,magic);
strncat(passwd,salt,s_len);
strcat(passwd,"$");
p = passwd + strlen(passwd);
l = (final[ 0]<<16) | (final[ 6]<<8) | final[12]; to64(p,l,4); p += 4;
l = (final[ 1]<<16) | (final[ 7]<<8) | final[13]; to64(p,l,4); p += 4;
l = (final[ 2]<<16) | (final[ 8]<<8) | final[14]; to64(p,l,4); p += 4;
l = (final[ 3]<<16) | (final[ 9]<<8) | final[15]; to64(p,l,4); p += 4;
l = (final[ 4]<<16) | (final[10]<<8) | final[ 5]; to64(p,l,4); p += 4;
l = final[11] ; to64(p,l,2); p += 2;
*p = '¥0';
memset(final,0,sizeof final);
return passwd;
}
/* 別に分けて作るのも面倒なので、メインルーチンのmain()も付け加えておきます */
void main(int argc, char *argv[])
{
if(argc!=3){
printf("Usage: %s <password> <salt>¥n",argv[0]);
exit(1);
}
/* argv[1]がパスワードで、arvg[2]がお塩になるように
* 入力してくださいませ
*/
printf("%s¥n", crypt_md5(argv[1], argv[2]));
}
---------------------------------
これだけではインクルードしている"md5_h_c.c"がありませんので、動きません。そんなわけで、
"md5_h_c.c"も書いておきます。
ちなみにこの"md5_h_c.c"は、RFC1321に付録Aとして付いている"global.h"と"md5.h"、そして
"md5c.c"の中から必要そうなところを抜き出して合わせたプログラムです。中には使われない
場所もあるかも知れませんが、それは私が未熟だからということでご勘弁を・・・
----------- md5_h_c.c -----------
/* POINTERは総括的なポインター型 */
typedef unsigned char *POINTER;
/* UINT4は4バイト(32ビット)のワード */
typedef unsigned long int UINT4;
#define PROTO_LIST(list) ()
/* MD5のcontext */
typedef struct {
UINT4 state[4]; /* state (ABCD) */
UINT4 count[2]; /* number of bits, modulo 2^64 (lsb first) */
unsigned char buffer[64]; /* input buffer */
} MD5_CTX;
void MD5Init PROTO_LIST ((MD5_CTX *));
void MD5Update PROTO_LIST
((MD5_CTX *, unsigned char *, unsigned int));
void MD5Final PROTO_LIST ((unsigned char [16], MD5_CTX *));
static void MD5Transform PROTO_LIST ((UINT4 [4], unsigned char [64]));
static void Encode PROTO_LIST
((unsigned char *, UINT4 *, unsigned int));
static void Decode PROTO_LIST
((UINT4 *, unsigned char *, unsigned int));
static void MD5_memcpy PROTO_LIST ((POINTER, POINTER, unsigned int));
static void MD5_memset PROTO_LIST ((POINTER, int, unsigned int));
/* MD5Transformルーチンのための定数 */
#define S11 7
#define S12 12
#define S13 17
#define S14 22
#define S21 5
#define S22 9
#define S23 14
#define S24 20
#define S31 4
#define S32 11
#define S33 16
#define S34 23
#define S41 6
#define S42 10
#define S43 15
#define S44 21
static unsigned char PADDING[64] = {
0x80, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0,
0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0
};
/* F, G, H, Iの論理関数 */
#define F(x, y, z) (((x) & (y)) | ((‾x) & (z)))
#define G(x, y, z) (((x) & (z)) | ((y) & (‾z)))
#define H(x, y, z) ((x) ^ (y) ^ (z))
#define I(x, y, z) ((y) ^ ((x) | (‾z)))
/* ROTATE_LEFTは、xをnビット循環左シフトする */
#define ROTATE_LEFT(x, n) (((x) << (n)) | ((x) >> (32-(n))))
/* ラウンド1, 2, 3, 4のためのFF, GG, HH, IIの変形です */
#define FF(a, b, c, d, x, s, ac) { ¥
(a) += F ((b), (c), (d)) + (x) + (UINT4)(ac); ¥
(a) = ROTATE_LEFT ((a), (s)); ¥
(a) += (b); ¥
}
#define GG(a, b, c, d, x, s, ac) { ¥
(a) += G ((b), (c), (d)) + (x) + (UINT4)(ac); ¥
(a) = ROTATE_LEFT ((a), (s)); ¥
(a) += (b); ¥
}
#define HH(a, b, c, d, x, s, ac) { ¥
(a) += H ((b), (c), (d)) + (x) + (UINT4)(ac); ¥
(a) = ROTATE_LEFT ((a), (s)); ¥
(a) += (b); ¥
}
#define II(a, b, c, d, x, s, ac) { ¥
(a) += I ((b), (c), (d)) + (x) + (UINT4)(ac); ¥
(a) = ROTATE_LEFT ((a), (s)); ¥
(a) += (b); ¥
}
/* MD5Init()は、MD5オペレーションを始めるまえに、
* 与えられたcontextを初期化します
*/
void MD5Init (context)
MD5_CTX *context; /* context */
{
context->count[0] = context->count[1] = 0;
context->state[0] = 0x67452301;
context->state[1] = 0xefcdab89;
context->state[2] = 0x98badcfe;
context->state[3] = 0x10325476;
}
/* MD5Update()は、与えられたinput文字列からinputLenだけ、
* contextのbufferに追加していきます
* その際、buffer内部のビット数であるcountも更新します
* また、そのほかにも条件を満たしたときにMD5Transform()を行います
*/
void MD5Update (context, input, inputLen)
MD5_CTX *context; /* context */
unsigned char *input; /* input block */
unsigned int inputLen; /* length of input block */
{
unsigned int i, index, partLen;
/* bufferの文字列をビット数で記憶しているcountから、
* buffer内の文字数(バイト数)を計算する
* ただし、文字数は64(=0x3F)で割ったあまりとする
*/
index = (unsigned int)((context->count[0] >> 3) & 0x3F);
/* ビット数の更新 */
if ((context->count[0] += ((UINT4)inputLen << 3))
< ((UINT4)inputLen << 3))
context->count[1]++;
context->count[1] += ((UINT4)inputLen >> 29);
partLen = 64 - index;
/* 条件を満たしたときに(MD5Finalからbitsを追加するために来たとき)、
* MD5Transformで論理計算等の計算を行ってきます
*/
if (inputLen >= partLen) {
MD5_memcpy
((POINTER)&context->buffer[index], (POINTER)input, partLen);
MD5Transform (context->state, context->buffer);
for (i = partLen; i + 63 < inputLen; i += 64)
MD5Transform (context->state, &input[i]);
index = 0;
}
else
i = 0;
/* countextのbufferに、inputのビット列をinputLenだけ追加する
* ただし、MD5Transformを行った場合は意味のない行です
*/
MD5_memcpy
((POINTER)&context->buffer[index], (POINTER)&input[i], inputLen-i);
}
/* MD5Final()は、与えられるcontext内のbufferに、
* Padやbufferの文字数を追加してMD5の仕上げを行い、
* その結果をdigestに返します
*/
void MD5Final (digest, context)
unsigned char digest[16]; /* message digest */
MD5_CTX *context; /* context */
{
unsigned char bits[8];
unsigned int index, padLen;
/* buffer文字列のビット数(=count)から、
* メッセージの最後に付けるための64ビット(8バイト)の
* ビット列(=bits)を生成します
*/
Encode (bits, context->count, 8);
/* buffer文字列のビット数(=count)を文字数に変換し、
* それが64で割ったときのあまりが56になるように、
* PADDING文字列を追加します
*/
index = (unsigned int)((context->count[0] >> 3) & 0x3f);
padLen = (index < 56) ? (56 - index) : (120 - index);
MD5Update (context, PADDING, padLen);
/* 生成した64ビット(8バイト)のbits文字列を、buffer文字列に追加し、
* ついでMD5Transform(論理計算等)の計算を行ってきます
* その結果は、context内のstateによって返ってきます
*/
MD5Update (context, bits, 8);
/* context内のstateから、
* 最終的に欲しいメッセージダイジェストのビット列を生成します
*/
Encode (digest, context->state, 16);
/* 次回影響を及ぼさないように、context内の全ての情報を0にします */
MD5_memset ((POINTER)context, 0, sizeof (*context));
}
/* MD5Transform()は、与えられたblockを論理演算等の計算を行い、
* その結果をstateに入れて返します
*/
static void MD5Transform (state, block)
UINT4 state[4];
unsigned char block[64];
{
UINT4 a = state[0], b = state[1], c = state[2], d = state[3], x[16];
Decode (x, block, 64);
/* ラウンド 1 */
FF (a, b, c, d, x[ 0], S11, 0xd76aa478); /* 1 */
FF (d, a, b, c, x[ 1], S12, 0xe8c7b756); /* 2 */
FF (c, d, a, b, x[ 2], S13, 0x242070db); /* 3 */
FF (b, c, d, a, x[ 3], S14, 0xc1bdceee); /* 4 */
FF (a, b, c, d, x[ 4], S11, 0xf57c0faf); /* 5 */
FF (d, a, b, c, x[ 5], S12, 0x4787c62a); /* 6 */
FF (c, d, a, b, x[ 6], S13, 0xa8304613); /* 7 */
FF (b, c, d, a, x[ 7], S14, 0xfd469501); /* 8 */
FF (a, b, c, d, x[ 8], S11, 0x698098d8); /* 9 */
FF (d, a, b, c, x[ 9], S12, 0x8b44f7af); /* 10 */
FF (c, d, a, b, x[10], S13, 0xffff5bb1); /* 11 */
FF (b, c, d, a, x[11], S14, 0x895cd7be); /* 12 */
FF (a, b, c, d, x[12], S11, 0x6b901122); /* 13 */
FF (d, a, b, c, x[13], S12, 0xfd987193); /* 14 */
FF (c, d, a, b, x[14], S13, 0xa679438e); /* 15 */
FF (b, c, d, a, x[15], S14, 0x49b40821); /* 16 */
/* ラウンド 2 */
GG (a, b, c, d, x[ 1], S21, 0xf61e2562); /* 17 */
GG (d, a, b, c, x[ 6], S22, 0xc040b340); /* 18 */
GG (c, d, a, b, x[11], S23, 0x265e5a51); /* 19 */
GG (b, c, d, a, x[ 0], S24, 0xe9b6c7aa); /* 20 */
GG (a, b, c, d, x[ 5], S21, 0xd62f105d); /* 21 */
GG (d, a, b, c, x[10], S22, 0x2441453); /* 22 */
GG (c, d, a, b, x[15], S23, 0xd8a1e681); /* 23 */
GG (b, c, d, a, x[ 4], S24, 0xe7d3fbc8); /* 24 */
GG (a, b, c, d, x[ 9], S21, 0x21e1cde6); /* 25 */
GG (d, a, b, c, x[14], S22, 0xc33707d6); /* 26 */
GG (c, d, a, b, x[ 3], S23, 0xf4d50d87); /* 27 */
GG (b, c, d, a, x[ 8], S24, 0x455a14ed); /* 28 */
GG (a, b, c, d, x[13], S21, 0xa9e3e905); /* 29 */
GG (d, a, b, c, x[ 2], S22, 0xfcefa3f8); /* 30 */
GG (c, d, a, b, x[ 7], S23, 0x676f02d9); /* 31 */
GG (b, c, d, a, x[12], S24, 0x8d2a4c8a); /* 32 */
/* ラウンド 3 */
HH (a, b, c, d, x[ 5], S31, 0xfffa3942); /* 33 */
HH (d, a, b, c, x[ 8], S32, 0x8771f681); /* 34 */
HH (c, d, a, b, x[11], S33, 0x6d9d6122); /* 35 */
HH (b, c, d, a, x[14], S34, 0xfde5380c); /* 36 */
HH (a, b, c, d, x[ 1], S31, 0xa4beea44); /* 37 */
HH (d, a, b, c, x[ 4], S32, 0x4bdecfa9); /* 38 */
HH (c, d, a, b, x[ 7], S33, 0xf6bb4b60); /* 39 */
HH (b, c, d, a, x[10], S34, 0xbebfbc70); /* 40 */
HH (a, b, c, d, x[13], S31, 0x289b7ec6); /* 41 */
HH (d, a, b, c, x[ 0], S32, 0xeaa127fa); /* 42 */
HH (c, d, a, b, x[ 3], S33, 0xd4ef3085); /* 43 */
HH (b, c, d, a, x[ 6], S34, 0x4881d05); /* 44 */
HH (a, b, c, d, x[ 9], S31, 0xd9d4d039); /* 45 */
HH (d, a, b, c, x[12], S32, 0xe6db99e5); /* 46 */
HH (c, d, a, b, x[15], S33, 0x1fa27cf8); /* 47 */
HH (b, c, d, a, x[ 2], S34, 0xc4ac5665); /* 48 */
/* ラウンド 4 */
II (a, b, c, d, x[ 0], S41, 0xf4292244); /* 49 */
II (d, a, b, c, x[ 7], S42, 0x432aff97); /* 50 */
II (c, d, a, b, x[14], S43, 0xab9423a7); /* 51 */
II (b, c, d, a, x[ 5], S44, 0xfc93a039); /* 52 */
II (a, b, c, d, x[12], S41, 0x655b59c3); /* 53 */
II (d, a, b, c, x[ 3], S42, 0x8f0ccc92); /* 54 */
II (c, d, a, b, x[10], S43, 0xffeff47d); /* 55 */
II (b, c, d, a, x[ 1], S44, 0x85845dd1); /* 56 */
II (a, b, c, d, x[ 8], S41, 0x6fa87e4f); /* 57 */
II (d, a, b, c, x[15], S42, 0xfe2ce6e0); /* 58 */
II (c, d, a, b, x[ 6], S43, 0xa3014314); /* 59 */
II (b, c, d, a, x[13], S44, 0x4e0811a1); /* 60 */
II (a, b, c, d, x[ 4], S41, 0xf7537e82); /* 61 */
II (d, a, b, c, x[11], S42, 0xbd3af235); /* 62 */
II (c, d, a, b, x[ 2], S43, 0x2ad7d2bb); /* 63 */
II (b, c, d, a, x[ 9], S44, 0xeb86d391); /* 64 */
state[0] += a;
state[1] += b;
state[2] += c;
state[3] += d;
/* 次回影響を及ぼさないように、x内の情報を0にします */
MD5_memset ((POINTER)x, 0, sizeof (x));
}
/* output(unsigned char)へinput(UINT4)をコード化します
* ただし、lenが4の倍数でなければなりません
*/
static void Encode (output, input, len)
unsigned char *output;
UINT4 *input;
unsigned int len;
{
unsigned int i, j;
for (i = 0, j = 0; j < len; i++, j += 4) {
output[j] = (unsigned char)(input[i] & 0xff);
output[j+1] = (unsigned char)((input[i] >> 8) & 0xff);
output[j+2] = (unsigned char)((input[i] >> 16) & 0xff);
output[j+3] = (unsigned char)((input[i] >> 24) & 0xff);
}
}
/* output(UINT4)へinput(unsigned char)を解読します
* ただし、lenが4の倍数でなければなりません
*/
static void Decode (output, input, len)
UINT4 *output;
unsigned char *input;
unsigned int len;
{
unsigned int i, j;
for (i = 0, j = 0; j < len; i++, j += 4)
output[i] = ((UINT4)input[j]) | (((UINT4)input[j+1]) << 8) |
(((UINT4)input[j+2]) << 16) | (((UINT4)input[j+3]) << 24);
}
/* inputの先頭からlenの値までを、outputに入れて返します */
static void MD5_memcpy (output, input, len)
POINTER output;
POINTER input;
unsigned int len;
{
unsigned int i;
for (i = 0; i < len; i++)
output[i] = input[i];
}
/* outputの先頭からlenの値まで、与えられたvalueを入れて返します */
static void MD5_memset (output, value, len)
POINTER output;
int value;
unsigned int len;
{
unsigned int i;
for (i = 0; i < len; i++)
((char *)output)[i] = (char)value;
}
---------------------------------
この二つのソースプログラムを同じディレクトリにおき、次のようにコンパイル、
実行してみてください。FreeBSDで使っている暗号化されたパスワードが表示されるはずです。
cc crypt-md5.c -o makepass
./makepass hogepass hogesalt
$1$hogesalt$unMgRLtjSgV2pfgxNTOrk0
ちなみに、この例では暗号化するパスワードがhogepassで、その際使われるお塩がhogesaltです。
お暇な方は自分のパスワードとお塩など入れて、おためしあれ。
以上、1000回も調味(MD5)を繰り返して摩訶不思議な味を造り出すcrypt-md5( )レシピでした
〜〜 お わ り 〜〜
参考文献 [1]プログラムのもととなったcrypt-md5.c ftp://ftp.kddlabs.co.jp/.4/FreeBSD/FreeBSD-current/src/secure/lib/libcrypt/crypt-md5.c [2]Ronald L.Rivest:RFC 1321 (The MD5 Message-Digest Algorithm),1992