这几天关于 Oracle 安全方面的消息很是令人震惊.
看来安全专家们是盯上了 Oracle. 随着对 Oracle 加密体系的研究不断深入,有人重新研究了 Oracle 的密码加密算法大致信息. 估计是为了引起 Oracle 技术圈子的注意,有好事者居然冒充 PSOUG 的 Daniel A. Morgan 在Google新闻组贴出了这篇文章.这篇文章先从 Oracle 的密码设计目标开始(“反向工程”),然后说了加密的大致思路是这样的:
- 用户名字和密码合并成一个字符串”s”
- “s” 转换为unicode
- 用 DES 的ncbc mode模式加密.Key为 0x123456789abcdef, 初始化向量为 0
- 同样的串用更新的初始化向量作为Key再次加密
- 更新的初始化向量作为 Hash