Jenkins 独自のユーザー データベース暗号化アルゴリズムの簡単な分析

Jenkins のアクセス制御は、セキュリティ ドメイン (認証) と承認戦略に分かれています。

その中で、セキュリティ ドメインは、Jenkins 独自のユーザー データベース、LDAP、およびサーブレット コンテナー エージェントの 3 つの形式を取ることができます。

Jenkins固有のユーザーデータは、<JENKINS_HOME> /users/に保存されます。

各ユーザーの関連情報はconfig.xmlファイルに保存されます: <JENKINS_HOME>/users/ <user>/config.xml

config.xmlファイルのpasswordHashノードでは、ユーザー名の暗号化された暗号文ハッシュ値を確認できます。

では、暗号化にはどのような暗号化方式が使用されるのでしょうか?暗号文を復号化して平文を取得することはできますか?

GitHubでソースコードを表示し、キーワード#jbcryptを検索してHudsonPrivateSecurityRealm.javaファイルを見つけます。

HudsonPrivateSecurityRealm.java の詳細なパスは次のとおりです: jenkins/core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java

ソースコードを分析すると、次のことがわかります。

1. 暗号文の形式は、salt: encPassです。#jbcryptは、saltがデータヘッダーとして使用されることを示します。

2. 平文はjbcryptアルゴリズムによって暗号文encPassに変換される

jbcrypt について:

jbcrypt は、bcrypt 暗号化ツールの Java 実装です。

API は非常にシンプルです。DEMO は次のとおりです。HudsonPrivateSecurityRealm.java では、暗号化と検証に次の API が使用されていることがわかります。

 // 初めてパスワードをハッシュする 
ハッシュされた文字列 = BCrypt.hashpw(password, BCrypt.gensalt()); 
 
 // gensalt の log_rounds パラメータは複雑さを決定します。作業係数は 2**log_rounds で、デフォルトは 10 です。  
ハッシュされた文字列 = BCrypt.hashpw(password, BCrypt.gensalt( 12 )); 
 
 // 暗号化されていないパスワードが以前にハッシュされたパスワードと一致するかどうかを確認します 
 if (BCrypt.checkpw(候補, ハッシュ))
 System.out.println( "一致しました" );
それ以外   
 System.out.println( "一致しません" );

同じ平文をjbcryptで暗号化すると、ソルトが通常異なるため、暗号化された暗号文は一般的に異なることが検証されています。

bcrypt について:

1. bcrypt は不可逆な暗号化アルゴリズムであり、暗号文を復号化しても平文を取得することは不可能です。

2. bcrypt と他の対称または非対称暗号化方式の違いは、直接復号化して平文を取得することも、暗号文を 2 回暗号化して暗号文を比較することもないことです。代わりに、平文と保存された暗号文を一緒に計算して、別の暗号文を取得します。2 つの暗号文が同じであれば、検証は成功です。

要約すると、Jenkins 独自のユーザー データベースは jbcrypt を使用して暗号化されます。jbcrypt 暗号化は元に戻すことができず、同じプレーンテキストの暗号化結果は通常異なります。

この記事は http://my.oschina.net/donhui/blog/379925 から引用しました。