는 게시된 연구를 나타내는 프리 이미지는 공격에 MD5 은 임박?

Question

내 계속 읽도록에 MD5 이 깨지,가슴,폐기 및 적용될 수 있습니다.는 낸다.

는 사실입 충돌하는 공격 에 MD5 은 지금 매우 쉽습니다.어떤 사람들은 충돌을 공격을 예고할 수 있도 우리가 그들을 사용하는 예측 선거.

나의 대부분을 찾을 예 MD5"brokeness"적은 재미있다.도 유명한 CA 인증서의 해킹 었 충돌을 공격하는 것을 의미는 그것의 증명할 수 있는 파티를 생성과 악 인증서에서 동일한 시간입니다.즉,이 경우 악한 캘리포니아 그 방법을 발견하는 야생으로 그것이 증명할 수 있는 것에서 유출된 사람이 있었는 좋은 캘리포니아하고 따라서 신뢰할 수 있는 어쨌든.

어떤 것은 더 많은 관입 프리 이미지 또는 두 번째 프리 이미지 공격합니다.

는 방법을 가능성이 높은 프리 이미지는 공격에 MD5?이 있는 현재 연구를 나타내는 것이 임박?는 사실 MD5 입 취약한 충돌 공격에 더 많은 고통을 가능성이 높은 프리 이미지로 공격합니까?

Answer 1

암호화에서 권장 사항은 일반적으로 미래를 예측하여 이루어지지 않습니다. 오히려 암호 검사관은 이미 알려져 있고 출판 된 것을 평가하려고합니다. 잠재적 인 향후 공격을 조정하기 위해 크립토 시스템은 일반적으로 안전 마진이 있도록 설계되었습니다. 예를 들어 암호화 키는 일반적으로 절대적으로 필요한 것보다 조금 더 오래 선택됩니다. 같은 이유로 약점이 발견되면 이러한 약점이 단지 인증서 일지라도 알고리즘을 피합니다.

특히, RSA 실험실은 Dobbertin이 압축 기능에서 충돌을 발견 한 후 1996 년에 이미 서명에 대해 MD5를 포기할 것을 권장했습니다. 압축 함수의 충돌은 해시 함수의 충돌이 존재한다는 것을 암시하지 않지만 압축 함수에 대한 충돌을 찾을 수 없다면 MD5에 대한 충돌을 찾을 수 없습니다. 따라서 RSA 실험실은 더 이상 MD5S 충돌 저항에 대한 확신이 없다고 결정했습니다.

오늘날 우리는 비슷한 상황에 처해 있습니다. 해시 함수가 충돌에 저항한다고 확신한다면 해시 함수가 프리 이미지 저항성이라고 확신 할 수 있습니다. 그러나 MD5는 상당한 약점이 있습니다. 따라서 많은 암호화 작가 (Arjen Lenstra와 같은 사람들 포함)는 MD5가 더 이상 프리이 이미지 저항에 의존하는 응용 분야에서도 더 이상 사용해야 할 안전 마진을 가지고 있지 않으므로 더 이상 사용하지 않는 것이 좋습니다. 암호화 작가는 미래를 예측할 수 없습니다 (따라서 그 일을하는 논문을 찾지 마십시오). 잠재적 공격에 대해 합리적인 예방 조치를 추천 할 수 있습니다. 더 이상 MD5를 사용하지 않는 것이 합리적인 예방 조치 중 하나입니다.

Answer 2

우리는 알지 못한다.

이 종류의 발전 경향이 있'갑자기'-누군가가 이론적인 돌파구를 찾을 방법 2^10(또는)시간 이전보다 더 나은 최고입니다.

그것은 보이는 프리 이미지 공격할 수 있는 여전히 비트 멀리 떨어져;a 최근 종이 클레임 복잡성의 2^96 에 대한 프리 이미지에 감소,44 라운드 버전의 MD5.그러나,이것은 질문이 아닙의 가능성이 있지만 오히려지는 사람은 영리를 충분히는 최종 단계를 가져와 복잡성을 위해 실제 거래으로 현실적인 여유.

는 말했다,이후의 충돌이 공격은 매우 실제 이미(에 한 분 전형적인 노트북고),프리 이미지 공격할 수 있(거나 없는)모퉁이를 돌면,그것은 이 공간 신중하게 고려 전환 강한 뭔가를 지금,그것은 너무 늦기 전에.

면 충돌되지 않는 문제가 당신을 위해,당신할 수 있는 시간을 기다릴 NIST SHA-3 경쟁 올와 함께 새로운 무언가이다.하지만 경우에 당신은 처리 능력과 비트를 예비 품목,SHA-256 을 사용 또는 이와 유사한은 아마도는 신중한 가 나타날 수 있습니다.

Answer 3

암호화 적으로 말하면 MD5의 사전 이미지 저항입니다 이미 부서진, 참조 이 백서는 Eurocrypt 2009의 논문. 이 공식적인 맥락에서 "깨진"은 무차별 인력 공격보다 빠른 것을 의미하며, 즉, 평균적으로 (2^128)/2 미만의 복잡성을 갖는 공격. 사사키와 아오키는 2^123.4의 복잡성을 가진 공격을 제시했지만, 이론적으로는 단지 이론적이지만, 모든 실제 공격은 덜 강력한 이론적 공격으로 구성되므로 이론적 인 브레이크 캐스트조차도 심각한 중기 안보에 대한 의심. 흥미로운 점은 MD5에 대한 충돌 공격에 참여한 많은 연구를 재사용한다는 것입니다. 그것은 사전 이미지 저항에 대한 MD5의 안전 마진이 충돌 공격으로 사라 졌다는 Accipitridae의 요점을 잘 보여줍니다.

2009 년 MD5의 사용이 있었던 또 다른 이유는 이제 SHA1의 사용이 강력하게 낙담합니다. 모든 응용 프로그램 대부분의 사람들은 사용 사례의 보안에 의존하는 정확한 속성을 이해하지 못한다는 것입니다. 불행히도 CAF가 지적한 것처럼 2008 년 CA 공격이 충돌 저항의 실패에 의존하지 않았다는 질문에서 내 요점을 증명했습니다.

A (신뢰할 수있는) CA가 인증서에 서명 할 때마다 약간의 자세히 설명하기 위해 CSR (Certificate Signing Request)의 형태로 고객이 제공하는 악의적 인 데이터에 서명합니다. 이제 대부분의 경우 서명 할 모든 데이터는 CSR 및 일부 외부 조건에서 사전 계산 될 수 있습니다. 이는 해시 함수가 해당 상태가 발생할 수있는 치명적인 부작용이 있으며, CSR에서 나오는 신뢰할 수없는 데이터가 공격자에게 완전히 알려져있어 충돌 공격을 용이하게합니다. 따라서 공격자는 CSR을 선입하여 CA를 해시로 강제하고 공격자에게만 알려진 그림자 인증서와 충돌하는 데이터에 서명 할 수 있습니다. CA는 공격자가 제공 한 합법적 인 CSR에만 액세스 할 수 있으므로 서명하기 전에 일반적으로 확인하기 전에 확인할 수있는 그림자 인증서의 전제 조건을 확인할 수 없습니다 (예 : 새 인증서는 루트 인증서라고 주장하지 않습니다). 일반적으로, 충돌 공격이 있고 데이터의 일부가 공격자에 의해 제어되면 더 이상 보는 데이터 옆에 서명 할 수있는 다른 것을 더 이상 알지 못합니다.