Zveřejněn zdrojový kód pro hledání kolizí MD4 a MD5

No ale stejne, kdyz proste nekde najdu hash, tak tohle mi nejake pouzitelne reseni aby to po secteni byl vysledek (hash) stejny jako ten co sem nasel nenajde, ze?

Je na netu uz ted zkompilovany program pro Win na otestovani?

jasně a s GUI barevnýma ikonkama lokalizovaný do češtiny

máte Hash přímo na očích a ani o tom nevíte

Já jenom nechápu to doporučení k přechodu na SHA-1, cituji z root.cz:


Sbohem SHA-1 ...

Nejprve Akashi Satoh publikoval návrh hardware, který by nalezl kolize SHA-1 (podle původního návrhu Wangové se složitostí 2^69). Podle jeho studie lze nyní již za 10 milionů dolarů sestavit zákaznický hardwarový systém, který by sestával z 303 PC, každý s 16 deskami (na každé je 32 jader SHA-1), pracujícími paralelně. Útok by trval 127 dní ...

Vzhledem k tomu, že v létě tým čínské profesorky Wangové publikoval útok, který snížil složitost 64 krát (na 2^63), se dá očekávat, že bude možné navrhnout hardware, který bude realizovat hledání kolizí SHA-1 (při obdobných nákladech) ve dvou dnech!

Akashi Satoh: Hardware Architecture and Cost Estimates for Breaking SHA-1 ISC 2005.

Pac je autor clanku lama, doporucuje se SHA2 ktere ma delsi klice ....

Ja myslim, ze nekdo nekde udelal chybu a ze tam melo byt misto SHA-1 napsano SHA-256.

Zive placa blbosti - odbornici samozrejme SHA-1 nedoporucuji. Doporucuje se treba SHA-256 nebo jine.

sorry ale to je extrem. nikdo si nenecha postavit masinu za 10 000 000 $ jen aby ziskal neci heslo..
Opravdu důležitý hesla se stejne hashujou alespon sha2 ..
V praxi to opravdu nic neznamena.. pokud jde o nejaky webovy sluzby, tak se hash vetsinou neprenasi pres GET takze neni ani nijak dohledatelny (treti stranou), mno a pokud uz by se dostal nejakej ten hacker do dabataze, tak si tam najde co potrebuje a nebude hledat heslo
tohle bych vubec neresil..

Ale s tim heslem jde o jinou vec: Skoro vsichni uzivatele pouzivaji stejne hesla na vice mistech (e-mail, eshopy...) a pokud by se hacker dostal k plaintext heslu na jednom serveru, mohl by jej zneuzit i na jinych. Takhle najde jen hash s kterym je ta potiz, ze neni jen jedna moznost co z toho po nalezeni kolize muze vylezt takze se jeste chvilku potrapi.

Salt is the answer.

Si myslím že 10 M$ nejni pro špiony nic moc.

jenže ono jde o kolizi (prvního (v jiné literatuře je to naopak označováno jako druhého - takže nechytat zde za slovo pls) řádu
kde je o to n alézt kolizi nikoliv obraz, takže ten stroji ti za 10kk dolaru žádné heslo stejně nevytříská

jde pouze o to ze urcita data maji hash x a tim programem jde vygenerovat jina data ktera maji stejny hash x tedy ne libovolna data! cili nejedna se o zadne prolomeni. zneuzit to v praxi je porat znacne komplikovana zalezitost.

To jsem si taky myslel, ale nemusí to tak být. I s jednou kolizí jde zvládnout mnoho věcí.

Nuz jeden priklad ako sa to da zneuzit je v prispevku vyssie o Alice.
Je pravda, ze zatial nie je mozne z hash generovat tie “jina data”. Musime poznat tie “urcita data” a k nim vieme vygenerovat tie “jina data” s rovnakym hash.
Keby bolo mozne z hash ziskat tie “jina data” bez poznania prvotnych “urcita data” to by bol BIG problem. V tom pripade na login do systemu by sme nepotrebovali povodne heslo ale len tie “jina data”, ktore by sme ziskali z hash toho povodneho hesla.

V pripade elektronickeho podpisu, kdyz se podepisuje hash a ne samotny dokument lze elektronicky podpis poprit. Zkratka prohlasite, ze jste nepodepsal ten a ten dokument, ale nejaky uplne jiny, byt bude obsahovat nesmyslna data.

To mi pripomina, ze jsem nekde videl online rozhovor s nekym (bud z ministrestva informatiky nebo nejake organizace okolo certifikatu) a na dotaz, proc se v e-podpisu pouzivaji algoritmy na hranici spolehlivosti a ne nejake lepsi, odpovedel, ze elektronicky podpis je stejne jenom nahrazka klasickeho "analogoveho klikyhaku", takze prehnana bezpecnost je zbytecna. :)

(Nabizi se otazka, proc teda ten e-podpis stoji tolik penez, kdyz podpis rukou je zadarmo, zanedbame-li optrebeni propisky? Ale odpoved radsi ani nechci znat.)

Pridam se k predchozimu prispevku: jak by se tohle dalo v praxi vyuzit? Nejaky opravdu ryze prakticky priklad nepravosti, ktera by s tim sla spachat?

vela aplikacii vyuziva na ukladanie hesiel md5 algoritmus...

Nepletu-li se, tak se MD5 skutečně využívá k hashování... ovšem to ještě neznamená, že můžeme díky tomuto zdrojáku získat z hashe heslo...mělo by se jednat o "pouhé" hledání kolizí, tzn. že např. dvě různá hesla mají stejný hash. Je to tak?

Je to presne tak.

a to vam nestaci

No, a jelikoz se do databaze uklada prave ten hash, tak muze byt vymalovano...

No jo, ale to bych si musel nejdriv zjistit ten hash, ulozeny v databazi, cili se do te databaze nejak dostat, ne? Navic proti tomu se da - aspon myslim - celkem snadno branit metodou challenge-response, kdy je hash pokazde jiny. Nebo ne?

Jojo, je fakt, že pak už zbývá se jenom dostat do databáze...

To si delate srandu ne DD? Tohle je ohledani kolizi to znamena ze mam nejaky text a jeho kontrolni soucet je nejaky. no a tohle hleda zmeny v tom textu tak aby nasel kolizi. Jestlize ale budete mit pouze md5 hash a nikoliv zdrojovi text (nebo cokoliv jineho) tak to hledani kolizi muze trvat hoooooooooooodne dlouho a ani bych to nenazival hledanim kolizi.

koukam na radu z vas radoby odborniku. Kdyby jste bili na cryptofestu 2005 videli by jste prakticky utok na MD5 kdy dva rozdilne soubory (contract kazdy na jinou castku) meli stejny hash!


MK

Nahodou crypto fest jsem videl a videl jsem i predchozi dva rocniky. Nevim proc zrovna cpete svuj komentar k mimu prispevku kdyz ja se zminuji o ziskani hesla nebo hesla se stejnym hashem z hashe bez znalosti obrazu a to je uplne neco jineho ale vy ten rozdil asi nechapete co ?

hele ty odborniku, nauc se psat cesky ;) "bili" ??? :D

a "by jste" je taky blbost.

To je fakt, měl by se naučit psát česky, což mimo jiné znamená používat háčky a čárky ;)

A vy jste opravdu magoři. Jedná se tu o MD4 a MD5 nebo o prudění za nějaký ten háček nebo čárku ? Jestli mi v tomto příspěvku nějaký chybí, nezapomeňte se ozvat, aby jste uvolnili své českojazyčné egomasturbování.

mimo to ze sem to napcal schvalne slo o to to napsat na posletni reakci ne na tu aktualni. cilem bylo najit dva shodne obrazy (tj jeden a ten samej) pro dva ruzne vzory. to se podarilo. Diky ruznym metajazykum a datum v ruznych slozitejsich programech je uplne jasne ze to nebude zas takovej problem.

boze jakej rozdil je mezi poslednim a aktualnim prispevkem ??? Proc jste to dal teda k mimu prispevku ? Ja nerikam ze neni problem najit jinej vzor se stejnym hashem kdyz znate vysledny hash a ani jsem to nepsal ja psal o necum uplne jinym . Vy asi nejste clovek co logicky mysli. Je vam vubec vic nez 15 let ?

zapomel jsem dopsat kdyz znate vzor ze kteryho jste ziskal ten urcity hash a ten vysledny hash znat nemusite protoze si ho muzete vypocitat

mimochodem nemyslim si ze takovych kontratů které by měly stejný MD5 hash je mnoho .. Mam za to ze dva či více stringů měly stejný MD5 hash vždycky již od počátku vzniku MD5 se o tom vědělo ..
A to jak je s každým hashem.. Akorát pravda některému na to stačí bit a některý je složitější .. :) žejo .. :)

http://www.cits.rub.de/MD5Collisions/

No prosim, tomu rikam priklad z praxe... Ale stejne se mi nechce uverit, ze by to bylo tak trivialni. Vzdyt prece ta Alice musela zajistit, aby ten jeji podvrzeny dokument mel nejen stejny has, jako ten pravy dokument, ale aby navic obsahoval ta data, ktera ona chtela. Navic kdyby si boss pri podepisovani prohledl, co podepisuje, tak by se to nemohlo stat. Nebo jsem zase neco nepochopil?

Nepochopil. Ten soubor je PSko, do nej se daji celkem bez problemu nacpat data, ktera vzhled nezmeni, ale da se jimi dosahnout pozadovany hash. A tohle plati o spouste dalsich formatu - exe, zip, doc, jpg...

Prave, ze vygenerovat pozadovane texty a dokumenty je vcelku trivialne. Zakladny princip je v tom, ze pri vytvarani dokumentu sa musia do neho vlozit obidve verzie textu a podla nejakej premennej rozhodnut, ktory obsah sa zobrazi uzivatelovi. A pretoze je to PostScript moznosti tu su.

Tu je priklad snad v zrozumitelnejsom jazyku:

Prvy dokument, ktory sa ukaze sefovi obsahuje:

If ( retazecX == retazecX )

{

     Print(“Toto je text co vidi sef.”);

}

Else

{

     Print(“Toto je text, ktory potrebuje Alice pre ziskanie prav.”);

}

A tu je druhy dokument, ktory pouzije Alice pre ziskanie pristupovych prav

If ( retazecX == retazecY )

{

     Print(“Toto je text co vidi sef.”);

}

Else

{

     Print(“Toto je text, ktory potrebuje Alice pre ziskanie prav.”);

}

Jediny rozdiel je v tom, ze prvy dokument porovnava retazecX == retazecX co je vzdy pravda a tak tento dokument zobrazuje vzdy len text “Toto je text co vidi sef.”.

Druhy dokument porovnava retazecX == retazecY co nie je nikdy pravda a tak sa vzdy zobrazi text “Toto je text, ktory potrebuje Alice pre ziskanie prav.”.

 
Aby obidve dokumenty mali rovnaky hash, musi retazecX generovat rovnaky hash ako retazecY. A pretoze vsetko ostatne v dokumentoch je rovnake tak aj cele dokumenty budu generovat rovnaky hash. A vdaka zverejnenemu algoritmu mozeme ziskat za 45 minut tie dva X a Y retazce, ktore Alice potrebovala.
Skuste si stiahnut tie dva PS subory a uvidite, ze je tam pouzity tento princip. Pricom mozete lubovolne zmenit text. Ak urobite presne rovnake zmeny v obidvoch suboroch, hash obidvoch suborov bude rovnaky. A tak je jednoduche editovat text co vidi sef a co ma vidiet osoba, ktora Alice prideli nove pristupove prava.

na hesla to neni, je to spíš na :

Udělam smlouvu za 5000000 kč kupuju barák
a pak udělam smlouvu za 500 kč kupuju stejný barák
se stejným hashem ....

Nojo, jenže vygenerovat smysluplnou smluvu s hashem stejným jako to původní není vůbec jednoduché a tento algoritmus s tím moc nepomůže :)

minimálně jednu hotovou jsem viděl.
Jde o to, že u skoro každého souboru je vždy nějaká hlavička (viz word hafo KB), které je v tomto případě pro "volné použití", takže smlouva může bejt ta samá, jen se pohrabeš v hlavičce.  A diky tomu jak se to spracovává, a že ty kolize jdou tvořit pro jakoukoiv
hodnotu tohle vytvořit můžeš. ... timto odkazuji na toto video : http://server1.streaming.cesnet.cz:8080/ramgen/others/su-cvut/cryptofest/2005/2005_03_19-CF-05-Klima-Hasovaci_funkce-principy_priklady_koli ze.rm
link na tu hotovou smluvu nevím

Ak ste autorom obidvoch zmluv a robite to hned na zaciatku, tak je to jednoduche. Zakladny princip je v tom, ze dokument musi obsahovat obidve verzie zmluv a len podla obsahu nejakej premennej sa rozhodne ktory obsah sa zobrazi uzivatelovi.

 Pozrite moj prispevok vyssie o Alice.

Jaky by to melo mit vliv napriklad pro elektronicky podpis pouzivany pro komunikaci se statni spravou? Znamena to, ze se za mne muze klidne nekdo vydavat?

Ikdyz v nasi lihove demagogicke krajine neni nic nemozne, tak tajne doufam, ze snad digitalni podpis vyuziva nejaky rozumnejsi algoritmus nez MD5.

MD5 sa pouziva ako hashovacia funkcia pri elektronickom podpise, pri challenge-response autentifikacii, hashovani hesiel a na kontrolu integrity dat.