Рекламный блок.

Подробности на английском можно прочесть здесь http://www.schneier.com/blog/archives/2005...hash_funct.html

Если коротко о ситуации и проблеме, своими словами. MD5 это алгоритм кодирования не имеющий механизма обратного декриптования. Тоесть к примеру у вас пароль "Вася", после криптования на сервере будет хранится как "zzzxxx" (это к примеру, реальный хешь лень делать).

При соединении с сервером вы вводите свой пароль "Вася", сервер его криптует в "zzzxxx", сравнивает с тем, что у него хранится в базе и принимает решение о вашем доступе. В таком методе был большой плюс, как уже было сказано алгоритм не имеет механизма обратного декриптования, и похитивший базу паролей на сервере получит в свое распоряжение "zzzxxx" с которым в общем мало, что можно сделать. Точнее можно было взять словарь русского/английского/прочего языка и перебрать в нем все слова, в надежде, что одно из них будет вашим паролем. Но это при нормальном пароле не реально.

Теперь же есть возможность, имея в своем распоряжении "zzzxxx", подобрать к нему пароль, точнее коллизию, тоесть это будет не "Вася", а что-то другое, которое при кодировании даст тот же результат "zzzxxx".

Надо отметить, что MD5 применяется во многих системах криптования и проблемы могут быть, самые различные, здесь же я дал описание только одной из них, для понимания механизма. Если статья не является "уткой", могут быть всема неприятные последствия...

Похоже уткой она не является, Брюс - признанный эксперт в области криптографии, а статью с математическим обоснованием можно найти по ссылке. Остается вопрос для каких пар нешифрованных данных можно получить одинаковые хэши (для всех ли? ), надеюсь узнать это после прочтения статьи.
Владельцы древних форумов, вроде старых версий phpBB, у которых через дырки можно вытянуть md5 хэш паролей однозначно попадают.

Однако.. а другой алгоритм без обратного декриптования существует? В смысле, на что заменить криптование хешей в многочисленных веб-службах?

alexk

ну они попадали и раньше, только раньше надо было хэш суметь в кукесы подставить, а теперь надо суметь к нему коллизию подобрать

bredonosec

Существуют, только похоже процесс вечный, SHA-0, SHA-1 уже далеки от идеала, другое существующее или создаваемое, после получения признания/популярности аналогичной md5 может ждать таже участь

Та же мысль приходила в голову..
На каждую хитрую *опу найдется винт с левой резьбой, на того - *опа с закоулками, на неё - зонд с путеводителем....

дальше в лес толще ...

Взлом MD5 хеша за 8 часов
Властимил Клима опубликовал статью в которой рассказывается о нахождении нового алгоритма для поиска коллизий в нескольких хеш функциях (MD4, MD5, HAVAL-128, RIPEMD). По его утверждениям новый алгоритм работает в 3 - 6 раз быстрее чем аналогичная разработка китайской группы специалистов, опубликованная в августе 2004 года (http://eprint.iacr.org/2004/199.pdf). Используя метод Властимила Клима возможно найти первую (полную) коллизию за 8 часов на Intel Pentium 1,6 GHz, что позволяет практически любому домашнему пользователю в относительно короткое время получить доступ к данным, зашифрованным алгоритмом MD5.
http://cryptography.hyperlink.cz/md5/MD5_c..._collisions.pdf

Да, про нахождение коллизий в SHA-1 тоже было в блоге у Шнайдера. Правда там вроде бы не так просто как с MD5.
Придется использовать SHA-256/384/512

А для хранения хешей паролей в Unix-like операционках и не только в них можно использовать Blowfish (алгоритм придуманный тем самым Шнайдером ). Правда он сам по себе не хеш-функция а обычный криптоалгоритм с симметричным ключем. Но это не мешает его использовать как хеш-функцию, точно так же как раньше во всех unix-ах для хешей использовался обычный DES. То есть просто паролем шифруется строка пробелов соответсвтующей длины, и получается хеш, по нему оригинальный пароль не восстановишь.
Правда в Blowfish-е тоже находили недостатки, о чем Шнайдер у себя на сайте честно пишет, но способов быстро подбирать ключ так и не нашли. Во FreeBSD blowfish был доступен давно как один из альтернативных методов создавать хеши паролей. в OpenBSD он если я не ошибаюсь используется по умолчанию. В остальних unix-like операционках пока к сожалению не используется (хотя после известий о MD5 возможно что уже и добавили).