Здравствуйте, 0K, Вы писали:

0K>Вы хоть сами читали это? По первой ссылке автор демонстрирует 2 разных сообщения, имеющие один и тот-же MD5 (что тут удивительного?). Но сгенерировать другие сообщения, имеющие один хеш, он не сможет.

вас что на гугле забанили ? или псевдоуверенность в том что МД5 непоколебим затмила все ?

http://www.stachliu.com.nyud.net:8090/md5coll.c
http://damagelab.org/lofiversion/index.php?t=5617

Здравствуйте, 0K, Вы писали:

0K>Для MD5 кажись где-то была таблица на 30 Гб, по которой можно было подобрать сообщение по его хешу. Но далеко не для всех сообщений.

см выше

0K>Для SHA1 ничего такого нет и в ближайшие 5-10 лет не будет.

lol

Здравствуйте, 0K, Вы писали:

0K>Для SHA1 ничего такого нет и в ближайшие 5-10 лет не будет.

кстати можете обсудить это заявление со Шнайером

http://www.schneier.com/blog/archives/2005/02/sha1_broken.html

mike_rs,

_>та неправ, подобрать набор данных, дающий тот-же самый MD5 реально за секунды. Погугли — есть готовые исходники.

Не совсем верно. Пока возможно только такое: для любого массива A существуют (и вычисляются за разумное время от |A|) массивы X и Y, такие что Md5(A.X)=Md5(A.Y), где . — операция конкатенации. Подобрать такой B, что Md5(A)=Md5(B) по-прежнему трудно.

Здравствуйте, mike_rs, Вы писали:
_>кстати можете обсудить это заявление со Шнайером
_>http://www.schneier.com/blog/archives/2005/02/sha1_broken.html

Все еще 2^69. И то, возможно, есть какие-то ограничения.

Здравствуйте, mike_rs, Вы писали:

_>кстати можете обсудить это заявление со Шнайером

_>http://www.schneier.com/blog/archives/2005/02/sha1_broken.html

Опять! Коллизии периодически обнаруживают. Но это сложно назвать взломом. 6^69 -- это очень много. Причем о практическом облегчении взлома благодаря коллизиям умалчивают.

Все эти статьи пишутся по понятным причинам: людям нужно что-то делать. Если 100 лет подряд использовать RSA/SHA1 -- зряплату платить никто не будет. Нужно громко кричать о взломанном алгоритме и необходимости внедрять новый (время стричь купоны). Один хрен никто не будет эти статьи читать.

Здравствуйте, Lazy Cjow Rhrr, Вы писали:

LCR>mike_rs,

_>>та неправ, подобрать набор данных, дающий тот-же самый MD5 реально за секунды. Погугли — есть готовые исходники.

LCR>Не совсем верно. Пока возможно только такое: для любого массива A существуют (и вычисляются за разумное время от |A|) массивы X и Y, такие что Md5(A.X)=Md5(A.Y), где . — операция конкатенации. Подобрать такой B, что Md5(A)=Md5(B) по-прежнему трудно.

Я понял что вроде не так, а наоборот. Если есть X и Y, такие что Md5(X)=Md5(Y), то Md5(X.A)=Md5(Y.A).

Здравствуйте, Lazy Cjow Rhrr, Вы писали:

LCR>mike_rs,

_>>та неправ, подобрать набор данных, дающий тот-же самый MD5 реально за секунды. Погугли — есть готовые исходники.

LCR>Не совсем верно. Пока возможно только такое: для любого массива A существуют (и вычисляются за разумное время от |A|) массивы X и Y, такие что Md5(A.X)=Md5(A.Y), где . — операция конкатенации. Подобрать такой B, что Md5(A)=Md5(B) по-прежнему трудно.

Зря вы разочаровываете юных хацкров. Они должны быть уверенны, что сломать можно что угодно в течение нескольких минут .

Здравствуйте, necr0n0mic0n, Вы писали:

N>я имел ввиду что алгоритмы конкретно перелопачены и обнаружены их слабые места.

N>хотя, несомненно, данный бид реквест в его текущем виде — фуфло полнейшее, найти все варианты да еще и за несколько минут

...особенно учитывая, что "все" === ∞

Здравствуйте, Lazy Cjow Rhrr, Вы писали:

LCR>Не совсем верно. Пока возможно только такое: для любого массива A существуют (и вычисляются за разумное время от |A|) массивы X и Y, такие что Md5(A.X)=Md5(A.Y), где . — операция конкатенации. Подобрать такой B, что Md5(A)=Md5(B) по-прежнему трудно.

Этого вполне достаточно для полной компрометации использования MD5 в качестве хеша электронной подписи документов, файлов, сертификатов и т.п. Сертификат кстати уже подделали — это гуглится.

Здравствуйте, mike_rs, Вы писали:

_>Здравствуйте, 0K, Вы писали:

0K>>Вы хоть сами читали это? По первой ссылке автор демонстрирует 2 разных сообщения, имеющие один и тот-же MD5 (что тут удивительного?). Но сгенерировать другие сообщения, имеющие один хеш, он не сможет.

_>вас что на гугле забанили ? или псевдоуверенность в том что МД5 непоколебим затмила все ?

_>http://www.stachliu.com.nyud.net:8090/md5coll.c
_>http://damagelab.org/lofiversion/index.php?t=5617

Вообще, насколько я понял статьи, получать исходное сообщение по МД5 хэшу ещё не научились (кроме как по словарю) — а именно это требует автор забавного бида из исходного сообщения.

В статьях просто показано, как для какого-то известногохэша для известного файла, получить вредный файл с тем же хэшем — к исходной задаче это не имеет никакого отношения

Здравствуйте, 0K, Вы писали:

0K>Зря вы разочаровываете юных хацкров. Они должны быть уверенны, что сломать можно что угодно в течение нескольких минут .

не стоит так переживать — лично ваши MD5 хеши не взломают минимум лет 5-10

Здравствуйте, alexqc, Вы писали:

A>Здравствуйте, necr0n0mic0n, Вы писали:

N>>я имел ввиду что алгоритмы конкретно перелопачены и обнаружены их слабые места.

N>>хотя, несомненно, данный бид реквест в его текущем виде — фуфло полнейшее, найти все варианты да еще и за несколько минут

A>...особенно учитывая, что "все" === ?

ну, предположим, что "строго равно бесконечности" оно только в математическом смысле...

mike_rs,

LCR>>Не совсем верно. Пока возможно только такое: для любого массива A существуют (и вычисляются за разумное время от |A|) массивы X и Y, такие что Md5(A.X)=Md5(A.Y), где . — операция конкатенации. Подобрать такой B, что Md5(A)=Md5(B) по-прежнему трудно.

_>Этого вполне достаточно для полной компрометации использования MD5 в качестве хеша электронной подписи документов, файлов, сертификатов и т.п. Сертификат кстати уже подделали — это гуглится.

Calm down, его уже давно не используют в качестве электронной подписи. А для проверки целостности пересылки файлов вполне годится.

Здравствуйте, Lazy Cjow Rhrr, Вы писали:

LCR>mike_rs,

LCR>>>Не совсем верно. Пока возможно только такое: для любого массива A существуют (и вычисляются за разумное время от |A|) массивы X и Y, такие что Md5(A.X)=Md5(A.Y), где . — операция конкатенации. Подобрать такой B, что Md5(A)=Md5(B) по-прежнему трудно.

_>>Этого вполне достаточно для полной компрометации использования MD5 в качестве хеша электронной подписи документов, файлов, сертификатов и т.п. Сертификат кстати уже подделали — это гуглится.

LCR>Calm down, его уже давно не используют в качестве электронной подписи. А для проверки целостности пересылки файлов вполне годится.

имхо для таких целей crc32 (или crc64) лучше подойдет (плюс вычислять его намного быстрей)

Здравствуйте, Lazy Cjow Rhrr, Вы писали:

LCR>Calm down, его уже давно не используют в качестве электронной подписи. А для проверки целостности пересылки файлов вполне годится.

MD5 в качестве цифровой подписи НИКОГДА не использовался -- это алгоритм хеширования.

вот нашел в википедии, оказывается это называется Preimage attack

и вот здесь в конце есть таблица, можно посмотреть Collision attacks (complexity) и Preimage attacks (complexity) для различных хэш функций

Здравствуйте, necr0n0mic0n, Вы писали:

N>

N>I need a program that, given a MD5 or SHA-1 hash, will return all possible data that could create that hash.
N>

Ему терморектальный криптоанализатор на самом деле нужен, а не эта функция..

LCR>>Calm down, его уже давно не используют в качестве электронной подписи. А для проверки целостности пересылки файлов вполне годится.

0K>MD5 в качестве цифровой подписи НИКОГДА не использовался -- это алгоритм хеширования.

А разве в ЭЦП не используют алгоритмы хеширования?
Как тогда поступают с данными которые нужно подписать/проверить ЭЦП, объем которых очень разнится?

Здравствуйте, Mr.Cat, Вы писали:

_>>кстати можете обсудить это заявление со Шнайером
_>>http://www.schneier.com/blog/archives/2005/02/sha1_broken.html

MC>Все еще 2^69. И то, возможно, есть какие-то ограничения.

На нынешнем еврокрипто была анонсирована атака за 2^51.

С Уважением, Andir!