188滚球网站评论

西蒙·约翰逊·3月10日,2005下午2点16分

MD5,SHA-1等是Twidle设计的。

以下是Twidle设计的工作原理:

1.设计快速转换。
2.第2条。加入细枝,直到你想不出一个方法来打破它。
三。部署密码。

这就是为什么我提倡基于宽径理念的设计。因为设计过程更清晰。证明大树枝就像小猪选择砖头盖房子。你有更好的机会抵抗渗透。

这就是为什么我提倡用这种方法。

西蒙。

蓝思·3月10日,2005年下午5:22

就这两份文件而言(链接纸和链接纸中引用的中文原稿)。这似乎有助于找到破坏哈希算法安全性的现有冲突(生成相同哈希的两个看似任意的明文)。但是说颠覆包的安全性实际上并不有用,或者密码哈希的安全性。目前的论文只是表明它比中国研究人员的论文显示的要快得多。

似乎和X509证书一样……也就是说,表明有可能生成这样一对相互冲突的证书。

也许这就是为什么这篇文章只是一个简短的…

鲱鱼·3月10日,2005下午6点04分

“似乎和X509证书一样……也就是说,表明有可能生成这样一对相互冲突的证书。”

这种攻击实际上是可行的。

-生成一对具有相同哈希的证书,一个为innovate.org,一个是受害者网站。
-获取由知名CA签署的innovate.org证书。
-将签名移动到victim.com证书。
-设置一个假安全服务器。攻击主要ISP的DNS解析程序,毒害DNS缓存,或者以其他方式劫持域名。
-看着钱滚滚而来。

是否有一种方法可以同时对哈希(对于证书来说,MD5和SHA1的组合很常见)进行签名和检查?验证证书时,默认情况下是否执行此操作?

JK·3月11日,2005凌晨3点18分

“但说颠覆包安全性实际上并不有用”

这足以破坏包的安全性。假设你是一个程序包生成器。您可以创建两个包,让我们说“善”和“恶”吧。具有相同的MD5。说得好。TGZ做了一些评估,并通过MD5SUM被授权到某个官方服务器上,大家都想好了。现在,您截获了特定vitim的下载——比如说,使用破解的特定ftp服务器。替换邪恶。VITIM验证MD5sums,好的,并且相信他和其他用户评价和愉快使用的包是一样的。

蓝思·3月11日,2005年4:29 AM

响应shad/jk,

从报纸上看,它们构造冲突的方式意味着它们对冲突的匹配明文(或匹配的X509证书)没有太多的控制。

到目前为止,似乎不可能为给定的明文/X509证书构造冲突(即使可能,碰撞的明文需要有非常严格的限制,给出了方法)。

这就是我对这些论文的解释,以及它们是如何产生碰撞的——你看过它们吗?可能有什么东西我错过了吗?

蓝思·3月11日,2005年4:45 AM

响应shad
“生成一对具有相同哈希的证书,一个为innovate.org,一个是受害者网站。”

刚刚意识到这可能是一种欺诈手段……如果生成证书的人说是innous.org的安全管理员,她可以把一份证书交给公司使用,然后使用另一个进行钓鱼/欺骗攻击,如您所提到的。

无辜组织本身不会从这样的攻击中获利,当然。

丹尼尔·3月11日,2005点5分28分

真的,这是相当令人担忧的——就好像基金会开始瓦解。

我记得读过你的书,布莱恩,关于MD5散列和发生冲突的可能性相当小(在编写时从未发生过)。以及这一点的重要性。

你认为这个启示会对未来的密码学产生什么影响?这仅仅是教育大众和开发更好的哈希算法的问题吗?

量子计算呢?我的理解是,当这发生时,纸牌之家真的会倒下。

但据我们所知,这些卡片可能已经成了一堆了——我听说,移动电话是在公众甚至还不知道这项技术的几十年前由军方开发和使用的。


(P.S.你的评论系188滚球网站统不保留格式,但是去掉了HTML——因此在我的文章中没有段落。)

丹尼尔·3月11日,2005点32分

跟进:

评论预览188滚球网站不是很有用:
1.它从文本中删除空白,但它被保存在实际的帖子中(因此在我上一篇帖子的结尾处出现了令人困惑的评论)。188滚球网站

2.第2条。这表明所提供的电子邮件地址不会随评论一起发布。188滚球网站(请你在我的地址被随附的第一个spambot索引之前立即从这页中删除好吗?谢谢。)

特立独行的·3月11日,2005年上午8:28

阿法克,MD5最初设计用于检查给定的说,文件在传输过程中被破坏。即。它可以帮助检测到较大源的某些字节被更改。

同时,两个完全不同的源的MD5散列很容易是相同的。这不是一个值得担心的问题,因为如果能够以某种方式为每一个可能的来源生成一个完全独特的“签名”,这将是有史以来最好的压缩方法——想想,可以用更短的唯一字符串替换任意的字节组。

几年前,我听说两个完全不同来源的MD5哈希可能是相同的。
唯一要记住的是:MD5确保文件没有被更改;如果两个文件的MD5相同,则不能保证它们是相同的,或者,如果MD5不同,则两个文件是不同的。

里卡多·巴雷拉·3月11日,2005点8:43

Maverick-如果两个文件具有不同的MD5,它们必然是不同的。

剂量·3月11日,2005上午9点08分

既然你不能用与good.tgz相同的签名创建一个任意的evil.tgz,这真的不是威胁,恕我直言。

能够创建一对具有相同MD5签名的X.509证书很有趣,但是,再一次,由于您不能创建任意数据并“使”它具有相同的MD5签名,只要CN或主机名是签名数据的一部分,很可能另一个证书在存储cn/hostname的位置相同,并且是文件格式的有效x.509证书,并且具有与合法x.509证书相同的MD5签名——有什么优势?非常低,我敢打赌。不是实际攻击。

这里唯一真正的“攻击”是能够“悄悄地”破坏数据,将其替换为生成相同MD5签名的数据,使MD5在确保完整性方面不那么有用。但它不允许攻击者使用手工制作的任意数据,而只是“使”它具有与其他数据相同的MD5签名。

自我·3月11日,2005年上午9:20

不,相反。如果两个文件具有不同的MD5,它们*必然*至少有一点不同。如果两个文件具有相同的MD5,它们是*可能*相同的文件。

里卡多·巴雷拉·3月11日,2005上午10时14分

古斯塔沃-你是说MD5的输出不是完全由它的输入决定的?相同的文件将始终具有相同的MD5,所以不同的MD5意味着不同的文件。这是简单的逻辑。

马特·帕默·3月11日,2005上午10时37分

里卡多,你陷入了一个逻辑陷阱,如果md5(a)=md5(a),和md5(x)=md5(y),那么x=y。这是不可能的。

确实,同一个文件将始终与同一个MD5求和。只是许多其他文件的总和也将是相同的MD5。

MD5的输出为128位。它给你2^128排列。这是一个非常大的数字,但并不像所有可能文件长度的排列那样大——所以必须有冲突,通过简单的数学。不能为128位中的所有可能文件生成唯一ID。

问题是,到目前为止,很难找到特定文件的特定冲突。我们一直知道它们的存在——我们只是不知道如何找到它们。


马特·帕尔默·3月11日,2005上午10时46分

里卡多-对不起,把你的评论读错了。188滚球网站我以为你是说你根本就不会有碰撞,当你说如果MD5不同,文件必须是不同的。它*是*简单的逻辑。

杰伊·3月11日,2005年上午11:31

>>并替换evil.tgz。VITIM验证MD5sums,好的,并且相信他和其他用户评价和愉快使用的包是一样的。

这似乎是一个相当大的延伸,evil.tgz可以充分可行,既具有功能性,又不明显可区分。现实世界的可能性看起来非常渺小,除非我误解了什么。

匿名的·3月11日,2005年下午12:13

“这似乎是一个相当大的延伸,evil.tgz可以充分可行,既具有功能性,又不明显可区分。”

zip文件在文件末尾有一个文件表,描述了zip的内容。这允许您在文件开头添加任意数量的任意字节。即。只需预先为evil.tgz准备好所需的字节,使其md5哈希与good.tgz的签名匹配即可。如果你能在不改变文件大小的情况下做到这一点,没有人会注意到。

普利亚·3月11日,下午2005点15分15分

“评论预览188滚球网站不是很有用”

它还从窗体文本字段中删除了我的名称。

上面的匿名邮件是我发的。

钟良·3月11日,2005下午4点39分

“这足以颠覆软件包的安全性。假设你是一个程序包生成器。您可以创建两个包,让我们说“善”和“恶”吧。具有相同的MD5。说得好。TGZ做了一些评估,并通过MD5SUM被授权到某个官方服务器上,大家都想好了。现在,您截获了特定vitim的下载——比如说,使用破解的特定ftp服务器。替换邪恶。VITIM验证MD5sums,好的,他相信自己的软件包和其他用户的软件包是一样的。”

如果攻击能拦截下载,然后他可能还会截取显示MD5散列的页面。

更现实的情况是从镜像站点下载文件。

布鲁斯·施奈188滚球网站尔·3月12日,2005年上午11:31

“不,相反。如果两个文件具有不同的MD5,它们*必然*至少有一点不同。如果两个文件具有相同的MD5,它们是*可能*相同的文件。“

其中“可能”的意思是“几乎可以肯定”,至少如果散列函数是安全的。

涡流·3月13日,2005点38分

我可以问一下,为什么人们在基于MD4的情况下似乎信任SHA系列?

毫无疑问,普通MD4在这一点上是完全无用的,因为被破坏的MD5只是MD4的一个扩展。

以MD5为基础的新设计不是更好的主意吗?

这就引出了我的下一个问题。是否可以通过将字节序列插入要散列的数据中,为特定数据集生成两个独立散列?

根据我对MD5参考代码的理解,对于任何大小相等的碰撞,将任何特定的字节序列添加到两个集合的末尾将导致另一对冲突,但加上开头会使它们独立。

我不能真正测试这个理论,因为我既没有一对碰撞,也没有产生碰撞的计算能力。

也许其他人能搞清楚。

迈克尔·3月15日,2005点40分

我看到两个产生相同哈希值的小数据块做了一件好事。
为自己构建一个文件提取器,它在其中一个数据块中使用一点来决定从其存档中提取两个不同的可执行文件中的哪一个。
现在使用提取器,数据块1和存档(其中包含good.executable和bad.executable)来构建自解压存档。
散列并发布它。
稍后用第二个自解压存档文件替换它,其中包含第二个数据块,关键点不同的地方……
这种攻击可以由每个人完成,而不知道如何创建MD5冲突。
有趣的是,不是吗?
不要相信自动提取档案!

迈克尔

(摘自《黑客》杂志)

迈克尔·3月15日,2005点50分

顺便说一句。

如果MD5和SHA1被认为是损坏的,
这对基于它们的Mac电脑意味着什么?

教育与工业应用数学组织·3月15日,2005上午5时18分

“如果MD5和SHA1被视为损坏,
这对基于它们的Mac电脑意味着什么?“

这意味着我们有麻烦了,至少10年后。

伊克斯

Д我ма·3月16日,2005年凌晨1:02

先决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决后决

胜利者·8月1日,下午2007点58分58分

喜佛,事实上,您可以拥有两个或多个MD5或SHA1,或者您喜欢的任何算法与同一哈希,这只是一个数学问题。

不可能有没有综合的哈希算法。对于那些涉及修改文件的人,我建议同时使用两个或更多哈希算法,所以,因为有两把钥匙要匹配,阿塔克很难找到合适的组合。

对于密码,你可以很容易地将结果重新散列n次,使用不同的哈希算法,根据密码的首字母。

好,他们只是我的想法。别相信我!你说什么?呵呵

留下评论188滚球网站

允许的HTML: · · · ·

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.