为什么 crypt/blowfish 使用两种不同的盐生成相同的哈希值？

这个问题与 PHP 的实现有关crypt() http://php.net/manual/en/function.crypt.php。对于这个问题，salt的前7个字符不算在内，所以一个salt '$2a$07$a' 的长度被认为是 1，因为它只有 1 个盐字符和 7 个元数据字符。

当使用长度超过 22 个字符的 salt 字符串时，生成的哈希值不会发生变化（即截断），并且当使用短于 21 个字符的字符串时，salt 将自动填充（用 '$' 字符，显然）；这相当简单。但是，如果给定一个 salt 20 个字符和一个 salt 21 个字符，其中除了 21 长度 salt 的最后一个字符之外，两者相同，则两个哈希字符串将相同。盐长度为 22 个字符，与 21 长度的盐相同，除了最后一个字符之外，散列将再次不同。

代码示例：

$foo = 'bar';
$salt_xx = '$2a$07$';
$salt_19 = $salt_xx . 'b1b2ee48991281a439d';
$salt_20 = $salt_19 . 'a';
$salt_21 = $salt_20 . '2';
$salt_22 = $salt_21 . 'b';

var_dump(
    crypt($foo, $salt_19), 
    crypt($foo, $salt_20), 
    crypt($foo, $salt_21), 
    crypt($foo, $salt_22)
);

将产生：

string(60) "$2a$07$b1b2ee48991281a439d$$.dEUdhUoQXVqUieLTCp0cFVolhFcbuNi"
string(60) "$2a$07$b1b2ee48991281a439da$.UxGYN739wLkV5PGoR1XA4EvNVPjwylG"
string(60) "$2a$07$b1b2ee48991281a439da2.UxGYN739wLkV5PGoR1XA4EvNVPjwylG"
string(60) "$2a$07$b1b2ee48991281a439da2O4AH0.y/AsOuzMpI.f4sBs8E2hQjPUQq"

为什么是这样？

EDIT:

一些用户注意到整个字符串存在差异，这是事实。在salt_20，偏移量 (28, 4) 为da$.， 而在salt_21，偏移量 (28, 4) 为da2.;然而，值得注意的是，生成的字符串包括哈希、盐以及生成盐的指令（即$2a$07$）；事实上，发生差异的部分仍然是盐。实际的哈希值不变UxGYN739wLkV5PGoR1XA4EvNVPjwylG.

因此，这实际上不是产生的哈希值的差异，而是用于存储哈希值的盐的差异，这正是当前的问题：两个盐生成相同的哈希值。

请记住：输出将采用以下格式：

"$2a$##$saltsaltsaltsaltsaltsaHASHhashHASHhashHASHhashHASHhash"
//                            ^ Hash Starts Here, offset 28,32

其中 ## 是 log-base-2，确定算法运行的迭代次数

Edit 2:

在评论中，要求我发布一些附加信息，因为用户无法重现我的输出。执行以下代码：

var_dump(
    PHP_VERSION, 
    PHP_OS, 
    CRYPT_SALT_LENGTH, 
    CRYPT_STD_DES, 
    CRYPT_EXT_DES, 
    CRYPT_MD5, 
    CRYPT_BLOWFISH
);

产生以下输出：

string(5) "5.3.0"
string(5) "WINNT"
int(60)
int(1)
int(1)
int(1)
int(1)

希望这可以帮助。

经过一些实验，我得出的结论是，这是由于盐的处理方式造成的。 salt 不被视为文字文本，而是被视为 base64 编码的字符串，这样 22 字节的 salt 数据实际上代表一个 16 字节的字符串（floor(22 * 24 / 32) == 16） 盐。 “陷阱！”然而，这个实现的一个问题是，像 Unix crypt 一样，它使用“非标准”base64 字母表。准确地说，它使用这个字母表：

./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789$

第 65 个字符，'$', 是填充字符。

现在crypt()函数似乎能够采用小于或等于其最大值的任何长度的盐，并通过丢弃不构成另一个完整字节的任何数据来默默地处理 base64 中的任何不一致。如果您向 crypt 函数传递不属于其 base64 字母表的字符，则 crypt 函数将完全失败，这恰好证实了其操作的理论。

取一个假想的盐'1234'。这与 Base64 完全一致，因为它表示 24 位数据，即 3 个字节，并且不携带任何需要丢弃的数据。这是一种盐，其Len Mod 4为零。将任何字符附加到该盐后，它就会变成 5 个字符的盐，并且Len Mod 4现在是 1。但是，这个附加字符仅代表六位数据，因此无法转换为另一个完整字节，因此将其丢弃。

因此，对于任意两种盐 A 和 B，其中

   Len A Mod 4 == 0 
&& Len B Mod 4 == 1  // these two lines mean the same thing
&& Len B = Len A + 1 // but are semantically important separately
&& A == substr B, 0, Len A

The actual salt used by crypt() to calculate the hash will, in fact, be identical. As proof, I'm including some example PHP code that can be used to show this. The salt constantly rotates in a seminon-random way (based on a randomish segment of the whirlpool hash of the current time to the microsecond), and the data to be hashed (herein called $seed) is simply the current Unix-Epoch time.

$salt = substr(hash('whirlpool',microtime()),rand(0,105),22);
$seed = time();
for ($i = 0, $j = strlen($salt); $i <= $j; ++$i) {
    printf('%02d = %s%s%c',
        $i,
        crypt($seed,'$2a$07$' . substr($salt, 0, $i)),
        $i%4 == 0 || $i % 4 == 1 ? ' <-' : '',
        0x0A
    );
}

这会产生类似于以下内容的输出

00 = $2a$07$$$$$$$$$$$$$$$$$$$$$$.rBxL4x0LvuUp8rhGfnEKSOevBKB5V2. <-
01 = $2a$07$e$$$$$$$$$$$$$$$$$$$$.rBxL4x0LvuUp8rhGfnEKSOevBKB5V2. <-
02 = $2a$07$e8$$$$$$$$$$$$$$$$$$$.WEimjvvOvQ.lGh/V6HFkts7Rq5rpXZG
03 = $2a$07$e89$$$$$$$$$$$$$$$$$$.Ww5p352lsfQCWarRIWWGGbKa074K4/.
04 = $2a$07$e895$$$$$$$$$$$$$$$$$.ZGSPawtL.pOeNI74nhhnHowYrJBrLuW <-
05 = $2a$07$e8955$$$$$$$$$$$$$$$$.ZGSPawtL.pOeNI74nhhnHowYrJBrLuW <-
06 = $2a$07$e8955b$$$$$$$$$$$$$$$.2UumGVfyc4SgAZBs5P6IKlUYma7sxqa
07 = $2a$07$e8955be$$$$$$$$$$$$$$.gb6deOAckxHP/WIZOGPZ6/P3oUSQkPm
08 = $2a$07$e8955be6$$$$$$$$$$$$$.5gox0YOqQMfF6FBU9weAz5RmcIKZoki <-
09 = $2a$07$e8955be61$$$$$$$$$$$$.5gox0YOqQMfF6FBU9weAz5RmcIKZoki <-
10 = $2a$07$e8955be616$$$$$$$$$$$.hWHhdkS9Z3m7/PMKn1Ko7Qf2S7H4ttK
11 = $2a$07$e8955be6162$$$$$$$$$$.meHPOa25CYG2G8JrbC8dPQuWf9yw0Iy
12 = $2a$07$e8955be61624$$$$$$$$$.vcp/UGtAwLJWvtKTndM7w1/30NuYdYa <-
13 = $2a$07$e8955be616246$$$$$$$$.vcp/UGtAwLJWvtKTndM7w1/30NuYdYa <-
14 = $2a$07$e8955be6162468$$$$$$$.OTzcPMwrtXxx6YHKtaX0mypWvqJK5Ye
15 = $2a$07$e8955be6162468d$$$$$$.pDcOFp68WnHqU8tZJxuf2V0nqUqwc0W
16 = $2a$07$e8955be6162468de$$$$$.YDv5tkOeXkOECJmjl1R8zXVRMlU0rJi <-
17 = $2a$07$e8955be6162468deb$$$$.YDv5tkOeXkOECJmjl1R8zXVRMlU0rJi <-
18 = $2a$07$e8955be6162468deb0$$$.aNZIHogUlCn8H7W3naR50pzEsQgnakq
19 = $2a$07$e8955be6162468deb0d$$.ytfAwRL.czZr/K3hGPmbgJlheoZUyL2
20 = $2a$07$e8955be6162468deb0da$.0xhS8VgxJOn4skeI02VNI6jI6324EPe <-
21 = $2a$07$e8955be6162468deb0da3.0xhS8VgxJOn4skeI02VNI6jI6324EPe <-
22 = $2a$07$e8955be6162468deb0da3ucYVpET7X/5YddEeJxVqqUIxs3COrdym

结论？双重。首先，它按预期工作，其次，了解你自己的盐，或者不要自己卷盐。