https://www.opennet.dev/openforum/vsluhforumID3/5275.html Как сообщает securitylab.ru (http://www.securitylab.ru/53242.html), Властимил Клима опубликовал (href=http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf) статью в которой рассказывается о нахождении нового алгоритма для поиска коллизий в нескольких хеш функциях (MD4, MD5, HAVAL-128, RIPEMD). <br><br><br>По его утверждениям новый алгоритм работает в 3 - 6 раз быстрее чем аналогичная разработка китайской группы специалистов, опубликованная (http://eprint.iacr.org/2004/199.pdf) в августе 2004 года . <br><br><br>Используя метод Властимила Клима возможно найти первую (полную) коллизию за 8 часов на Intel Pentium 1,6 GHz, что позволяет практически любому домашнему пользователю в относительно короткое время получить доступ к данным, зашифрованным алгоритмом MD5.<br><br>URL: http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=5169<br> https://www.opennet.dev/openforum/vsluhforumID3/5275.html#44 Mon, 04 Jan 2021 14:06:25 GMT эх рулетка, тоже занимаюсь сейчас этим вопросом. Так то это все реализуется. Вот только даётся на все это 5 минут. Перебор такого огромного кол - ва вариация занимает очень много времени. Если решить вопрос со временем, то это все реализуемо <br> https://www.opennet.dev/openforum/vsluhforumID3/5275.html#43 Sun, 31 May 2020 18:25:20 GMT Здравствуйте.<br>Шарящие в вопросе, подскажите, пожалуйста:<br>Есть MD5 хэш.<br>Мы знаем что он "получился" из строки "A.B.C"<br> где A - известное нам число<br> B - неизвестное число от 1 до 100<br> С - неизвестное число максимум из 18 цифр<br>Реально ли написать софт, который будет находить B и C?<br>Типа вводим хэш и число A. Программа перебирает все возможные комбинации A, B и C и хэш каждой сравнивает с исходным. Есть совпадение, выдает нам значения B и C. Как-то так.<br>Я абсолютный ноль во всей это теме, но теоретически все выглядит просто =)<br>А как все обстоит в действительности?<br> https://www.opennet.dev/openforum/vsluhforumID3/5275.html#42 Tue, 17 Jun 2008 08:46:42 GMT Джон перебирает тупым брутом на трех потоках 6 символьный пароль по хешу за 40 минут на машине с атлоном 3500<br><br>8 символьный пароль сдается за двое суток при использовании латиницы и цифр<br><br>на кластере мощностью гигафлоп в 100 150 (средняя заводская аппаратная) 10 символьный сдастся за неделю. Джон выдаст парольную фразу которая будет схавана шадоу и откроет доступ. Причем не важно будет это коллизия или реальная фраза<br><br>При быстром алгоритме поиска коллизий угроза одна - открытый доступ к данным, Будь то шадоу или криптоключ с указанными алгоритмами.<br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/5275.html#41 Mon, 17 Apr 2006 05:59:12 GMT Возник такой вопрос: алгоритм ищет два текста с одинаовым хэшем или подбирает текст к определённому хэшу??? https://www.opennet.dev/openforum/vsluhforumID3/5275.html#40 Fri, 18 Nov 2005 07:40:08 GMT &gt;не прав в корне,<br><br>ха, главное не спорить, а все опошлить.<br><br>&gt;как раз смысл то в другом, прогоняется проверка <br>&gt;для всего файла сразу,<br><br>Это то понятно, это и называется проверочной суммой.<br><br>&gt; кстати в папке /etc/passwd не MD5 используется <br><br>Там действительно пароль зашифрован неизвестным алгоритмом, который любой пароль преобразует в невзламываемый символ 'x' или '*' :)<br><br>&gt;<br>&gt;если говорить про корень, а не продиректорию в корне какой нибудь домашней <br>&gt;папке хостинга<br><br>да мы только про корень и говорили. Кстати, ты о чем ? <br> https://www.opennet.dev/openforum/vsluhforumID3/5275.html#39 Thu, 17 Nov 2005 21:44:50 GMT &gt;В случае md5 хеша в /etc/shadow или /etc/master.passwd там всего тысячу последовательных <br>&gt;итераций. Поэтому на взлом нужно 8 часов*1000 = около года в <br>&gt;лучшем случае. Про CHAP не знаю, но там вроде не лучше <br>&gt;ситуация, из-за того, что часть ключа объединяется со случайным значением, который <br>&gt;выбирается для клиента сервером на каждый сеанс разный. Так что единственно, <br>&gt;где можно воспользоваться подбором коллизий - это где hash значение MD5 <br>&gt;функции используется как ключ для поиска сжатых текстовых объектов и это <br>&gt;является единственной проверкой на идентичность объектов, или как checksum для проверки <br>&gt;файлов на целостность. <br><br><br>не прав в корне, как раз смысл то в другом, прогоняется проверка для всего файла сразу, кстати в папке /etc/passwd не MD5 используется<br>если говорить про корень, а не продиректорию в корне какой нибудь домашней папке хостинга https://www.opennet.dev/openforum/vsluhforumID3/5275.html#38 Thu, 17 Nov 2005 21:39:43 GMT &gt;Для паролей из /etc/passwd (или как там теперь модно /etc/shadow) <br>хотел бы я посмотреть как ты там пароли из MD5 будешь пытаться выковыривать, ты хоть раз содержимое этой папки видел? и как выглядит md5 хэш?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/5275.html#37 Fri, 11 Nov 2005 14:27:04 GMT &gt;&gt;&gt;Это очевидно. Пассы в базе хранятся в МД5. Отправляем пасс. Его хэшат. <br>&gt;&gt;&gt;Проверяют - подходит. Браво. <br>&gt;&gt;<br>&gt;&gt;Всё не так! <br>&gt;&gt;Сначала пароль хэшат, а потом уже отправляют и проверяют. <br>&gt;<br>&gt;Что значит не так??? <br>&gt;<br>&gt;Всё от системы зависит! <br>&gt;Если это авторизация по алгоритму типа CHAP или MD5 c POP3, то <br>&gt;- да, ходят хэши. <br>&gt;А если по POP3/SMTP/FTP/HTTP/... с хранением паролей в зашифрованном виде на сервере? <br>&gt;Ходят плэйн-тексты... <br>&gt;<br>&gt;"Паника" - по обоим случаям ;) <br><br>В случае md5 хеша в /etc/shadow или /etc/master.passwd там всего тысячу последовательных итераций. Поэтому на взлом нужно 8 часов*1000 = около года в лучшем случае. Про CHAP не знаю, но там вроде не лучше ситуация, из-за того, что часть ключа объединяется со случайным значением, который выбирается для клиента сервером на каждый сеанс разный. Так что единственно, где можно воспользоваться подбором коллизий - это где hash значение MD5 функции используется как ключ для поиска сжатых текстовых объектов и это является единственной про https://www.opennet.dev/openforum/vsluhforumID3/5275.html#36 Fri, 05 Aug 2005 05:38:13 GMT Я подозреваю, что фигня все это.<br>Если есть алгоритм, то должны быть и проги, юзающие его.<br>Я почему-то ни одной не нашел.