Zveřejněn zdrojový kód pro hledání kolizí MD4 a MD5

Diskuze čtenářů k článku

Lukas Kalista  |  16. 11. 2005 14:15  | 

Jaky by to melo mit vliv napriklad pro elektronicky podpis pouzivany pro komunikaci se statni spravou? Znamena to, ze se za mne muze klidne nekdo vydavat?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Hidden  |  16. 11. 2005 14:18  | 

Ikdyz v nasi lihove demagogicke krajine neni nic nemozne, tak tajne doufam, ze snad digitalni podpis vyuziva nejaky rozumnejsi algoritmus nez MD5.

Souhlasím  |  Nesouhlasím  |  Odpovědět
krtko  |  16. 11. 2005 14:22  | 

MD5 sa pouziva ako hashovacia funkcia pri elektronickom podpise, pri challenge-response autentifikacii, hashovani hesiel a na kontrolu integrity dat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Erchamion  |  16. 11. 2005 14:18  | 

Pridam se k predchozimu prispevku: jak by se tohle dalo v praxi vyuzit? Nejaky opravdu ryze prakticky priklad nepravosti, ktera by s tim sla spachat?

Souhlasím  |  Nesouhlasím  |  Odpovědět
forcer  |  16. 11. 2005 14:22  | 

vela aplikacii vyuziva na ukladanie hesiel md5 algoritmus...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Vašek  |  16. 11. 2005 14:27  | 

Nepletu-li se, tak se MD5 skutečně využívá k hashování... ovšem to ještě neznamená, že můžeme díky tomuto zdrojáku získat z hashe heslo...mělo by se jednat o "pouhé" hledání kolizí, tzn. že např. dvě různá hesla mají stejný hash. Je to tak?

Souhlasím  |  Nesouhlasím  |  Odpovědět
J  |  16. 11. 2005 14:34  | 

Je to presne tak.

Souhlasím  |  Nesouhlasím  |  Odpovědět
a  |  16. 11. 2005 14:34  | 

a to vam nestaci

Souhlasím  |  Nesouhlasím  |  Odpovědět
gagic  |  16. 11. 2005 14:58  | 

No, a jelikoz se do databaze uklada prave ten hash, tak muze byt vymalovano...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Erchamion  |  16. 11. 2005 15:04  | 

No jo, ale to bych si musel nejdriv zjistit ten hash, ulozeny v databazi, cili se do te databaze nejak dostat, ne? Navic proti tomu se da - aspon myslim - celkem snadno branit metodou challenge-response, kdy je hash pokazde jiny. Nebo ne?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Gremlin1, Gremlin1  |  16. 11. 2005 15:22  | 

Jojo, je fakt, že pak už zbývá se jenom dostat do databáze...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Helac, Helac  |  16. 11. 2005 20:29  | 

To si delate srandu ne DD? Tohle je ohledani kolizi to znamena ze mam nejaky text a jeho kontrolni soucet je nejaky. no a tohle hleda zmeny v tom textu tak aby nasel kolizi. Jestlize ale budete mit pouze md5 hash a nikoliv zdrojovi text (nebo cokoliv jineho) tak to hledani kolizi muze trvat hoooooooooooodne dlouho a ani bych to nenazival hledanim kolizi.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin Kalenda  |  16. 11. 2005 21:52  | 

koukam na radu z vas radoby odborniku. Kdyby jste bili na cryptofestu 2005 videli by jste prakticky utok na MD5 kdy dva rozdilne soubory (contract kazdy na jinou castku) meli stejny hash!


MK

Souhlasím  |  Nesouhlasím  |  Odpovědět
Helac, Helac  |  16. 11. 2005 22:13  | 

Nahodou crypto fest jsem videl a videl jsem i predchozi dva rocniky. Nevim proc zrovna cpete svuj komentar k mimu prispevku kdyz ja se zminuji o ziskani hesla nebo hesla se stejnym hashem z hashe bez znalosti obrazu a to je uplne neco jineho ale vy ten rozdil asi nechapete co ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
193.179.70.xxx  |  17. 11. 2005 08:26  | 

hele ty odborniku, nauc se psat cesky ;) "bili" ??? :D

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tom  |  17. 11. 2005 11:49  | 

a "by jste" je taky blbost.

Souhlasím  |  Nesouhlasím  |  Odpovědět
azazel@email.cz  |  17. 11. 2005 15:28  | 

To je fakt, měl by se naučit psát česky, což mimo jiné znamená používat háčky a čárky ;)

Souhlasím  |  Nesouhlasím  |  Odpovědět
w  |  17. 11. 2005 18:08  | 

A vy jste opravdu magoři. Jedná se tu o MD4 a MD5 nebo o prudění za nějaký ten háček nebo čárku ? Jestli mi v tomto příspěvku nějaký chybí, nezapomeňte se ozvat, aby jste uvolnili své českojazyčné egomasturbování.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin Kalenda  |  18. 11. 2005 08:15  | 

mimo to ze sem to napcal schvalne slo o to to napsat na posletni reakci ne na tu aktualni. cilem bylo najit dva shodne obrazy (tj jeden a ten samej) pro dva ruzne vzory. to se podarilo. Diky ruznym metajazykum a datum v ruznych slozitejsich programech je uplne jasne ze to nebude zas takovej problem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Helac, Helac  |  18. 11. 2005 20:03  | 

boze jakej rozdil je mezi poslednim a aktualnim prispevkem ??? Proc jste to dal teda k mimu prispevku ? Ja nerikam ze neni problem najit jinej vzor se stejnym hashem kdyz znate vysledny hash a ani jsem to nepsal ja psal o necum uplne jinym . Vy asi nejste clovek co logicky mysli. Je vam vubec vic nez 15 let ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Helac, Helac  |  18. 11. 2005 20:05  | 

zapomel jsem dopsat kdyz znate vzor ze kteryho jste ziskal ten urcity hash a ten vysledny hash znat nemusite protoze si ho muzete vypocitat

Souhlasím  |  Nesouhlasím  |  Odpovědět
w  |  17. 11. 2005 18:13  | 

mimochodem nemyslim si ze takovych kontratů které by měly stejný MD5 hash je mnoho .. Mam za to ze dva či více stringů měly stejný MD5 hash vždycky již od počátku vzniku MD5 se o tom vědělo ..
A to jak je s každým hashem.. Akorát pravda některému na to stačí bit a některý je složitější .. :) žejo .. :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  16. 11. 2005 15:09  | 

http://www.cits.rub.de/MD5Collisions/

Souhlasím  |  Nesouhlasím  |  Odpovědět
Erchamion  |  16. 11. 2005 15:24  | 

No prosim, tomu rikam priklad z praxe... Ale stejne se mi nechce uverit, ze by to bylo tak trivialni. Vzdyt prece ta Alice musela zajistit, aby ten jeji podvrzeny dokument mel nejen stejny has, jako ten pravy dokument, ale aby navic obsahoval ta data, ktera ona chtela. Navic kdyby si boss pri podepisovani prohledl, co podepisuje, tak by se to nemohlo stat. Nebo jsem zase neco nepochopil?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  16. 11. 2005 17:56  | 

Nepochopil. Ten soubor je PSko, do nej se daji celkem bez problemu nacpat data, ktera vzhled nezmeni, ale da se jimi dosahnout pozadovany hash. A tohle plati o spouste dalsich formatu - exe, zip, doc, jpg...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Videoman  |  16. 11. 2005 20:39  | 

Prave, ze vygenerovat pozadovane texty a dokumenty je vcelku trivialne. Zakladny princip je v tom, ze pri vytvarani dokumentu sa musia do neho vlozit obidve verzie textu a podla nejakej premennej rozhodnut, ktory obsah sa zobrazi uzivatelovi. A pretoze je to PostScript moznosti tu su.

 

Tu je priklad snad v zrozumitelnejsom jazyku:

 

Prvy dokument, ktory sa ukaze sefovi obsahuje:

 

If ( retazecX == retazecX )

{

     Print(“Toto je text co vidi sef.”);

}

Else

{

     Print(“Toto je text, ktory potrebuje Alice pre ziskanie prav.”);

}

 

A tu je druhy dokument, ktory pouzije Alice pre ziskanie pristupovych prav

 

If ( retazecX == retazecY )

{

     Print(“Toto je text co vidi sef.”);

}

Else

{

     Print(“Toto je text, ktory potrebuje Alice pre ziskanie prav.”);

}

 

Jediny rozdiel je v tom, ze prvy dokument porovnava retazecX == retazecX co je vzdy pravda a tak tento dokument zobrazuje vzdy len text “Toto je text co vidi sef.”.

 

Druhy dokument porovnava retazecX == retazecY co nie je nikdy pravda a tak sa vzdy zobrazi text “Toto je text, ktory potrebuje Alice pre ziskanie prav.”.

 
Aby obidve dokumenty mali rovnaky hash, musi retazecX generovat rovnaky hash ako retazecY. A pretoze vsetko ostatne v dokumentoch je rovnake tak aj cele dokumenty budu generovat rovnaky hash. A vdaka zverejnenemu algoritmu mozeme ziskat za 45 minut tie dva X a Y retazce, ktore Alice potrebovala.
Skuste si stiahnut tie dva PS subory a uvidite, ze je tam pouzity tento princip. Pricom mozete lubovolne zmenit text. Ak urobite presne rovnake zmeny v obidvoch suboroch, hash obidvoch suborov bude rovnaky. A tak je jednoduche editovat text co vidi sef a co ma vidiet osoba, ktora Alice prideli nove pristupove prava.

Souhlasím  |  Nesouhlasím  |  Odpovědět
AZOR  |  16. 11. 2005 16:42  | 

na hesla to neni, je to spíš na :

Udělam smlouvu za 5000000 kč kupuju barák
a pak udělam smlouvu za 500 kč kupuju stejný barák
se stejným hashem ....

Souhlasím  |  Nesouhlasím  |  Odpovědět
Karel  |  16. 11. 2005 17:38  | 

Nojo, jenže vygenerovat smysluplnou smluvu s hashem stejným jako to původní není vůbec jednoduché a tento algoritmus s tím moc nepomůže :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
AZOR., AZOR.  |  16. 11. 2005 18:22  | 

minimálně jednu hotovou jsem viděl.
Jde o to, že u skoro každého souboru je vždy nějaká hlavička (viz word hafo KB), které je v tomto případě pro "volné použití", takže smlouva může bejt ta samá, jen se pohrabeš v hlavičce.  A diky tomu jak se to spracovává, a že ty kolize jdou tvořit pro jakoukoiv
hodnotu tohle vytvořit můžeš. ... timto odkazuji na toto video : http://server1.streaming.cesnet.cz:8080/ramgen/others/su-cvut/cryptofest/2005/2005_03_19-CF-05-Klima-Hasovaci_funkce-principy_priklady_koli ze.rm
link na tu hotovou smluvu nevím

Souhlasím  |  Nesouhlasím  |  Odpovědět
Videoman  |  16. 11. 2005 20:41  | 

Ak ste autorom obidvoch zmluv a robite to hned na zaciatku, tak je to jednoduche. Zakladny princip je v tom, ze dokument musi obsahovat obidve verzie zmluv a len podla obsahu nejakej premennej sa rozhodne ktory obsah sa zobrazi uzivatelovi.

 Pozrite moj prispevok vyssie o Alice.

Souhlasím  |  Nesouhlasím  |  Odpovědět
jazz  |  16. 11. 2005 15:07  | 

jde pouze o to ze urcita data maji hash x a tim programem jde vygenerovat jina data ktera maji stejny hash x tedy ne libovolna data! cili nejedna se o zadne prolomeni. zneuzit to v praxi je porat znacne komplikovana zalezitost.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mike  |  16. 11. 2005 15:51  | 

To jsem si taky myslel, ale nemusí to tak být. I s jednou kolizí jde zvládnout mnoho věcí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Videoman  |  16. 11. 2005 20:52  | 

Nuz jeden priklad ako sa to da zneuzit je v prispevku vyssie o Alice.
Je pravda, ze zatial nie je mozne z hash generovat tie “jina data”. Musime poznat tie “urcita data” a k nim vieme vygenerovat tie “jina data” s rovnakym hash.
Keby bolo mozne z hash ziskat tie “jina data” bez poznania prvotnych “urcita data” to by bol BIG problem. V tom pripade na login do systemu by sme nepotrebovali povodne heslo ale len tie “jina data”, ktore by sme ziskali z hash toho povodneho hesla.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Pavel Chromy  |  16. 11. 2005 22:37  | 

V pripade elektronickeho podpisu, kdyz se podepisuje hash a ne samotny dokument lze elektronicky podpis poprit. Zkratka prohlasite, ze jste nepodepsal ten a ten dokument, ale nejaky uplne jiny, byt bude obsahovat nesmyslna data.

Souhlasím  |  Nesouhlasím  |  Odpovědět
J.  |  17. 11. 2005 13:08  | 

To mi pripomina, ze jsem nekde videl online rozhovor s nekym (bud z ministrestva informatiky nebo nejake organizace okolo certifikatu) a na dotaz, proc se v e-podpisu pouzivaji algoritmy na hranici spolehlivosti a ne nejake lepsi, odpovedel, ze elektronicky podpis je stejne jenom nahrazka klasickeho "analogoveho klikyhaku", takze prehnana bezpecnost je zbytecna. :)

(Nabizi se otazka, proc teda ten e-podpis stoji tolik penez, kdyz podpis rukou je zadarmo, zanedbame-li optrebeni propisky? Ale odpoved radsi ani nechci znat.)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Milan Beneš  |  16. 11. 2005 15:07  | 

Já jenom nechápu to doporučení k přechodu na SHA-1, cituji z root.cz:


Sbohem SHA-1 ...

Nejprve Akashi Satoh publikoval návrh hardware, který by nalezl kolize SHA-1 (podle původního návrhu Wangové se složitostí 2^69). Podle jeho studie lze nyní již za 10 milionů dolarů sestavit zákaznický hardwarový systém, který by sestával z 303 PC, každý s 16 deskami (na každé je 32 jader SHA-1), pracujícími paralelně. Útok by trval 127 dní ...

Vzhledem k tomu, že v létě tým čínské profesorky Wangové publikoval útok, který snížil složitost 64 krát (na 2^63), se dá očekávat, že bude možné navrhnout hardware, který bude realizovat hledání kolizí SHA-1 (při obdobných nákladech) ve dvou dnech!

Akashi Satoh: Hardware Architecture and Cost Estimates for Breaking SHA-1 ISC 2005.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tomas  |  16. 11. 2005 15:11  | 

Pac je autor clanku lama, doporucuje se SHA2 ktere ma delsi klice ....

Souhlasím  |  Nesouhlasím  |  Odpovědět
Redmarx  |  16. 11. 2005 15:12  | 

Ja myslim, ze nekdo nekde udelal chybu a ze tam melo byt misto SHA-1 napsano SHA-256.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  16. 11. 2005 15:18  | 

Zive placa blbosti - odbornici samozrejme SHA-1 nedoporucuji. Doporucuje se treba SHA-256 nebo jine.

Souhlasím  |  Nesouhlasím  |  Odpovědět
lll  |  16. 11. 2005 15:18  | 

sorry ale to je extrem. nikdo si nenecha postavit masinu za 10 000 000 $ jen aby ziskal neci heslo..
Opravdu důležitý hesla se stejne hashujou alespon sha2 ..
V praxi to opravdu nic neznamena.. pokud jde o nejaky webovy sluzby, tak se hash vetsinou neprenasi pres GET takze neni ani nijak dohledatelny (treti stranou), mno a pokud uz by se dostal nejakej ten hacker do dabataze, tak si tam najde co potrebuje a nebude hledat heslo
tohle bych vubec neresil..

Souhlasím  |  Nesouhlasím  |  Odpovědět
Hidden  |  16. 11. 2005 16:16  | 

Ale s tim heslem jde o jinou vec: Skoro vsichni uzivatele pouzivaji stejne hesla na vice mistech (e-mail, eshopy...) a pokud by se hacker dostal k plaintext heslu na jednom serveru, mohl by jej zneuzit i na jinych. Takhle najde jen hash s kterym je ta potiz, ze neni jen jedna moznost co z toho po nalezeni kolize muze vylezt takze se jeste chvilku potrapi.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Roger  |  16. 11. 2005 17:57  | 

Salt is the answer.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mard  |  16. 11. 2005 16:23  | 

Si myslím že 10 M$ nejni pro špiony nic moc.

Souhlasím  |  Nesouhlasím  |  Odpovědět
AZOR  |  16. 11. 2005 16:50  | 

jenže ono jde o kolizi (prvního (v jiné literatuře je to naopak označováno jako druhého - takže nechytat zde za slovo pls) řádu
kde je o to n alézt kolizi nikoliv obraz, takže ten stroji ti za 10kk dolaru žádné heslo stejně nevytříská

Souhlasím  |  Nesouhlasím  |  Odpovědět
X  |  16. 11. 2005 20:36  | 

máte Hash přímo na očích a ani o tom nevíte

Souhlasím  |  Nesouhlasím  |  Odpovědět
Petr  |  17. 11. 2005 09:00  | 

Je na netu uz ted zkompilovany program pro Win na otestovani?

Souhlasím  |  Nesouhlasím  |  Odpovědět
doors  |  17. 11. 2005 22:35  | 

jasně a s GUI barevnýma ikonkama lokalizovaný do češtiny

Souhlasím  |  Nesouhlasím  |  Odpovědět
Loli  |  17. 11. 2005 09:16  | 

No ale stejne, kdyz proste nekde najdu hash, tak tohle mi nejake pouzitelne reseni aby to po secteni byl vysledek (hash) stejny jako ten co sem nasel nenajde, ze?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor

Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF