为什么 .NET 框架中没有托管的 MD5 实现？

Question

（重新编写的问题，请参阅历史原文）。

问题就在标题中。

为什么 .NET 框架中没有托管 MD5 实现？

我说的是 MD5 算法的纯托管代码实现，它在 .NET 框架中不存在。

在 System.Security.Cryptography 命名空间中，我知道 MD5 抽象基类（它必须被继承并且不能按原样使用），我也知道MD5CryptoServiceProvider 和 MD5CNG 分别提供来自操作系统底层 CSP（加密服务提供者）和 CNG（下一代加密）提供者的实现，但是，这两个实现都是 非托管代码。

答案更新：
我很感激，虽然应该对这个问题有“一个真正的答案”，但我们（SO 社区）可能不知道它，除非 Microsoft 框架设计师（或直接了解该框架的人）参与其中然而，在这个社区中，许多人对从框架中省略托管 MD5 实现的想法提供了非常合理的“有根据的猜测”，但是，我仍然很想知道是否有人知道“真实”的答案这个问题。

Answer 1

MD5CryptoServiceProvider 从第一天起就在 .NET Framework 中，实际上：

byte[] hash = new MD5CryptoServiceProvider().
    ComputeHash(Encoding.ASCII.GetBytes("Hello World!"));

请注意，所有封装散列算法的 .NET BCL 类都继承自 HashAlgorithm 类，因此可以多态地使用它们...

public byte[] ComputeHash(byte[] buffer, HashAlgorithm hashAlgorithm)
{ ...

...不同的实现可以依赖注入到你的代码中：

public HashAlgorithm HashAlgorithm { get; set; }

编辑

啊哈，我明白了。 MD5 的问题（这纯粹是推测）是它是最广泛使用的散列算法之一，因此，它的实现需要符合某些标准——更具体地说，FIPS 140-1。请参阅this 了解更多信息。

Answer 2

你在说什么？

System.Security.Cryptography.MD5
System.Security.Cryptography.MD5CryptoServiceProvider

Answer 3

从一开始就存在

// Create a new instance of the MD5CryptoServiceProvider object.
MD5 md5Hasher = MD5.Create();

// Convert the input string to a byte array and compute the hash.
byte[] data = md5Hasher.ComputeHash(Encoding.Default.GetBytes(input));

// Create a new Stringbuilder to collect the bytes
// and create a string.
StringBuilder sBuilder = new StringBuilder();

// Loop through each byte of the hashed data 
// and format each one as a hexadecimal string.
for (int i = 0; i < data.Length; i++)
{
    sBuilder.Append(data[i].ToString("x2"));
}

// Return the hexadecimal string.
string hexMD5hash = sBuilder.ToString();

Answer 4

由于我没有设计框架，我不能肯定地说，但我相信他们可能不会因为安全原因而阻止它的使用。

我原本认为非托管实现会更快，但现在我们知道事实并非如此，请参阅：https://stackoverflow.com/a/14850676/58391

我的下一个最佳猜测与 Pavel 在上面的 cmets 中所说的一致。与 .NET 和 C# 中的大多数功能一样，当底层的非托管功能已经足够好时，实现、测试和发布该功能可能没有足够的成本优势。

从设计该语言的人那里看到真正的答案会很有趣。

Answer 5

MD5 不适用于任何加密或文件验证目的，除了可能的错误检测传输错误。这可能是为了让人们转向更好的哈希值，比如 SHA-1 或更佳的 SHA-256。

http://www.mscs.dal.ca/~selinger/md5collision/

Answer 6

在 .NET 中，以 CryptoServiceProvider 结尾的任何内容都会包装非托管 Windows Crypto API。以 Managed 结尾的任何内容都完全用托管语言编写。 link text

正如其他人所说，您不应再使用 MD5。您应该使用 .NET 中具有托管实现的 SHA-256。你很高兴去换一个更好的算法。 （编辑）由于 MD5 不再是 kosher，因此几乎不可能在更高版本的 .NET 中对其进行更新以进行完全管理，因为无论如何您都不应该再使用它了。

Answer 7

这完全是基于阅读了来自不同 Microsoft 博主的许多帖子的推测（尽管不是做出此决定的特定人）。 .NET 框架中没有托管 MD5 实现，因为：

1) 非托管 Windows Crypto API 已经提供了一个实现，他们负担不起，或者更有可能觉得他们有更好的事情要做，而不是投入资源来实现已经从底层非托管封装的东西执行。可以通过阅读How many Microsoft employees does it take to change a lightbulb?、Minus 100 points（适用于 C# 编译器，但展示了在他们做得最好的地方花费资源的相同心态）、Why Doesn't C# Implement "Top Level" Methods?（另一个看单个功能所需的资源）和features don't exist by default（链接自here）。这些都没有回答具体问题，但它们都表明编写新代码需要大量资源，这些资源可能更好地用于其他地方。您可以争辩说，封装底层非托管代码仍然需要资源，但我不认为不重写已经可用、经过测试和工作的代码会节省净成本。

2) 稍后，或者可能几乎在同一时间，research proved the feasibility of collision attacks against MD5。那时，在托管代码中重写 MD5 的门槛可能会更高。一旦安全开发生命周期规定 don't use banned crypto 我可以想象 MD5 的托管版本将是他们投入资源的最后一件事。

虽然我的回答完全是推测，但不难理解，即使是微软也有有限的资源和大量他们想要包含的功能。必须做出选择，而这些决定几乎总是会影响到某些开发人员。

最后，您自己说有 3rd 方 MD5Managed 课程，或者您总是可以roll your own。 MD5 的托管版本可能是“five minute feature”，但如果确实如此，那么作为程序员，我们可以自己编写。