服务密码加密是否加密加密的启用机密？

Question

在Cisco路由器上：

启用enable secret <password>时，它会创建一个哈希(我相信是MD5)，因此不能读取配置文件的权限。

当对所有密码(如：service password-encryption )进行加密时，它是对上面加密的密码进行加密，还是只加密明文密码？

如果它对明文密码进行加密，那么只需要先对enable password <password>进行加密而不对其进行加密，因为service password-encryption会这样做，那又如何呢？

还有一件事。用于service password-encryption和enable secret的密钥是为每个路由器动态创建的还是一个静态密钥，等于所有思科路由器(可能不是)？

Answer 1

所以我想在问题出现时回答他们。

问题:当打开所有密码如:服务密码加密时，它是对上面加密的密码进行加密，还是只加密明文密码？答:只更改明文密码。

问:如果它加密了明文密码，那么只需要先启用密码就可以了，因为服务密码-加密就可以了，那怎么样？答:正确。输入命令的人将输入明文密码，因为Cisco安全机制将用哈希来模糊密码。

问:还有一件事。用于服务密码加密和启用机密的密钥是为每个路由器动态创建的，还是一个静态密钥，等于所有cisco路由器(可能不是)？答:没有“加密密钥”是动态的，因为密码没有被加密。相反，它是被“哈希”。当您显示正在运行的配置并查看非明文文本密码时，它是以该格式出现的，因为设备接受了该明文密码，并通过MD5散列算法将结果保存在配置中。所以连设备都不知道你的明文密码。这就是它的工作原理。假设您输入密码登录。设备接受您输入的密码，并在MD5哈希中运行该密码并获得结果。如果该结果与配置文件中的内容相匹配，则您将进入。不需要加密。

奖励:加密和散列保持简单，因为这个奖励是给另一个论坛的:哈希算法(如MD5 )本质上是“加密的”。但是-哈希和加密之间的区别是，加密总是通过DEcryption (您之前提到的密钥)“可逆”的。散列在数学上是不可逆的。它只需要一个字符串，运行它通过一个头脑麻木的数学过程，然后输出一个结果。例如，如果您将字母A放在像MD5这样的数学散列算法中，A总是(总是)结果为7FC56270E7A70FA81A5935B72EACBE29 (参见onlinemd5.com)。B将与A的输出完全不同，但每次哈希都会为B提供相同的输出。哈希算法越“复杂”，密码就越“加密”(而不是加密)。

Answer 2

汤姆给出了一个漂亮的答案，但没有提到默认值。“启用机密”使用类型5哈希，而服务密码加密默认使用类型7。相反，不幸的是，令许多人懊恼的是，思科考生5型比7型强。