Keinerlei veröffentlichte Forschungsergebnisse zeigen, dass Urbild Angriffe auf MD5 drohen?
https://stackoverflow.com/questions/822638
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich halte beim Lesen auf, so dass MD5 gebrochen ist, Büste, veraltet und nie verwendet werden. Das ärgert mich.
Die Tatsache ist, dass Kollision Angriffe auf MD5 sind jetzt ziemlich einfach. Manche Menschen haben Kollision Angriffe bis auf eine Technik und können wir sie verwenden, auch href="http://www.win.tue.nl/hashclash/Nostradamus/" zum Wahlen vorhersagen .
Ich finde die meisten der Beispiele MD5 „Zerbrochen“ weniger interessant. Auch der hacken ein Kollision Angriff war, dass seine beweisbar was bedeutet, dass die Partei, die gut und böse Zertifikate zur gleichen Zeit erzeugt. Das bedeutet, dass, wenn die EVIL CA seinen Weg in die Wildnis gefunden, es beweisbar ist, dass es von der Person durchgesickert, die die guten CA hatten und damit ohnehin war vertraut.
Was viel mehr wäre in Bezug auf eine Urbild oder zweiten Urbild Angriff.
Wie wahrscheinlich ist ein Urbild Angriff auf MD5? Gibt es eine aktuelle Forschung, um anzuzeigen, dass es unmittelbar bevorsteht? Ist die Tatsache, dass MD5 Kollision Angriffe anfällig macht es wahrscheinlicher, einen Urbild Angriff zu leiden?
Lösung
In der Kryptographie Empfehlungen sind im Allgemeinen nicht gemacht durch die Vorhersage der Zukunft, da dies nicht möglich ist, zu tun. Vielmehr versuchen entcoders zu beurteilen, was bereits bekannt ist und veröffentlicht. Um für mögliche künftige Angriffe einzustellen, sind Kryptosysteme im Allgemeinen so ausgelegt, dass es eine gewisse Sicherheitsmarge ist. Z.B. kryptographischer Schlüssel sind in der Regel etwas länger als unbedingt nötig gewählt. Aus dem gleichen Grunde Algorithmen vermieden einmal Schwächen zu finden sind, auch wenn diese Schwächen nur certificational sind.
Insbesondere empfahl die RSA Labs MD5 für Signaturen im Jahr 1996 bereits verlassen nach Dobbertin Kollisionen in der Kompressionsfunktion gefunden. Kollisionen in der Kompressionsfunktion bedeutet nicht, dass Kollisionen in der Hash-Funktion vorhanden ist, aber wir können nicht Kollisionen für MD5 finden, wenn wir Kollisionen für die Komprimierungsfunktion finden. So entschieden sich die RSA Labs, dass sie nicht mehr das Vertrauen Widerstand in MD5s Kollision haben.
Heute sind wir in einer ähnlichen Situation. Wenn wir sicher sind, dass eine Hash-Funktion ist resistent gegen Kollisionen dann auch sicher sein, wir können, dass die Hash-Funktion resistent ist Urbild. Aber MD5 hat erhebliche Schwächen. Daher denken viele Kryptologen (einschließlich Menschen wie Arjen Lenstra), dass MD5 nicht mehr die notwendige Sicherheitsmarge muss auch in Anwendungen eingesetzt werden, die nur auf Urbild Widerstand verlassen und daher nicht mehr verwenden empfehlen. Cryptographers kann nicht vorhersagen, die Zukunft (also nicht für die Papiere sehen, dass nur tun), aber sie können angemessene Vorkehrungen gegen mögliche Angriffe empfehlen. Empfehlung nicht MD5 mehr zu verwenden ist eine solche vernünftige Vorsichtsmaßnahme.
Andere Tipps
Wir wissen es nicht.
Diese Art von Fortschritt neigt ‚ganz plötzlich‘ zu kommen - jemand einen theoretischen Durchbruch macht, und findet eine Methode, die 2 ^ 10 (oder was auch immer) mal besser als die bisher besten
.Es tut dass Urbild Angriffe scheinen mag noch weit weg ein wenig sein; a letztes Papier eine Komplexität reduziert auf 2 ^ 96 für ein Urbild behauptet , 44-runden-Version von MD5. Dies ist jedoch nicht eine Frage der Wahrscheinlichkeit ist, sondern vielmehr, ob jemand klug genug, um diesen letzten Schritt zu gehen und die Komplexität für die eigentliche Behandlung in eine realistische Marge bringen.
Wie gesagt, da Kollision Angriffe sind sehr real bereits ( 1 Minute auf einem typischen Laptop ) und Urbild Angriffe könnten (oder auch nicht) gleich um die Ecke sein, ist es generall als umsichtig angesehen nun etwas stärker zu wechseln, bevor es zu spät ist.
Wenn Kollisionen sind kein Problem für Sie, Sie könnten Zeit für die NIST SHA-3 Wettbewerb zu kommen mit etwas Neuem. Aber wenn Sie die Rechenleistung und die Bits zu schonen, mit SHA-256 oder ähnlich ist wahrscheinlich eine kluge Vorsichtsmaßnahme.
Kryptographisch MD5 Rede Urbild Widerstand bereits gebrochen finden Sie unter dieses Papier von Eurocrypt 2009 . In diesem formalen Zusammenhang bedeutet „gebrochen“ schneller als Brute-Force-Angriffe, d.h. Angriffe eine Komplexität von weniger als (2 ^ 128) / 2 im Mittel. Sasaki und Aoki präsentierten einen Angriff mit einer Komplexität von 2 ^ 123,4, die bei weitem nur theoretisch, sondern jeder praktischer Angriff auf weniger potent theoretischen Angriff bauen, so dass selbst eine theoretische Pause Abgüsse ernst Zweifel an seinem Medium -term Sicherheit. Was auch interessant ist, ist, dass sie eine Menge Forschung wiederverwenden, die in Kollision Angriffe auf MD5 gegangen ist. Das schön illustriert Accipitridae der Punkt, dass MD5 der Sicherheitsmarge auf Urbild Widerstand wird mit den Kollisionsangriffe fort.
Ein weiterer Grund, warum die Verwendung von MD5 im Jahr 2009 war und jetzt die Verwendung von SHA1 wird dringend abgeraten für jede Anwendung ist, dass die meisten Menschen nicht verstehen, die genaue Eigenschaft der Sicherheit ihres Anwendungsfalles stützt auf. Sie erwies sich leider mein Punkt in Ihrer Frage besagt, dass der 2008 CA Angriff nicht auf ein Versagen der Kollision Widerstand verlassen hat, als caf hingewiesen hat.
ein bisschen zu erarbeiten, jedes Mal, wenn ein (trusted) CA ein Zertifikat signiert es auch möglicherweise schädliche Daten unterzeichnet, die von einem Kunden in Form einer Zertifikatsanforderung (CSR) kommt. Jetzt in den meisten Fällen alle Daten, die im Voraus berechnet aus dem CSR und einigen äußeren Bedingungen werden kann unterzeichnet werden wird. Dies hat den fatalen Nebeneffekt, dass der Zustand, die Hash-Funktion in sein wird, wenn es wird die nicht vertrauenswürdigen Daten aus dem CSR kommenden Hash vollständig den Angreifer bekannt sind, die einen Kollisionsangriff erleichtert. So kann ein Angreifer einen CSR vorauszuberechnen, die die CA zwingen wird, um Daten zu Hash und Zeichen, die eine Kollision mit einem Schatten Zertifikat nur an den Angreifer bekannt. Die CA kann nicht überprüfen, die Voraussetzungen des Schatten Zertifikats, das es in der Regel vor der Unterzeichnung es (zum Beispiel, dass das neue Zertifikat erhebt keinen Anspruch auf ein Stammzertifikat zu sein) überprüfen würde, da er nur Zugang zu legitimer CSR der zur Verfügung gestellten Angreifer hat. Im Allgemeinen, wenn Sie Kollision Angriffe und ein Teil Ihrer Daten wird durch einen Angreifer kontrolliert dann wissen Sie nicht mehr, was sonst könnte man neben der Daten signieren Sie sehen.
