Как сообщает securitylab.ru (http://www.securitylab.ru/53242.html), Властимил Клима опубликовал (href=http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf) статью в которой рассказывается о нахождении нового алгоритма для поиска коллизий в нескольких хеш функциях (MD4, MD5, HAVAL-128, RIPEMD).
По его утверждениям новый алгоритм работает в 3 - 6 раз быстрее чем аналогичная разработка китайской группы специалистов, опубликованная (http://eprint.iacr.org/2004/199.pdf) в августе 2004 года .
Используя метод Властимила Клима возможно найти первую (полную) коллизию за 8 часов на Intel Pentium 1,6 GHz, что позволяет практически любому домашнему пользователю в относительно короткое время получить доступ к данным, зашифрованным алгоритмом MD5.URL: http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf
Новость: http://www.opennet.me/opennews/art.shtml?num=5169
Ну очень безграмотное название статьи, подходящее разве что для желтой прессы. Нахождение коллизий пока еще взломом MD5 назвать трдно.
> Ну очень безграмотное название статьи, подходящее разве что для желтой прессы.
Чем вам не нравится название статьи? "Finding MD5 Collisions – a Toy For a Notebook" вполне отражает суть статьи.> Нахождение коллизий пока еще взломом MD5 назвать трдно.
А что можно считать взломом? Возможность нахождения коллизий, например позволяет подделать X.509 сертификат:
http://www.win.tue.nl/~bdeweger/CollidingCertificates/В общем о приминении MD5 в криптографии можно забыть.
Самая большая проблема в том, что X.509 сертификаты в подписи которых используется MD5 сейчас очень широко используются :(
Господи, источник-то посмотри - securitylab.ru - жёлтая пресса и есть. Почитай их новости - такие перлы найти можно. Они ещё и не такого напишут.
Поаккуратнее со словами, уважаемый!
в назвать MD5 алгоритмом шифрования может только абсолютно неграмотный в ИТ человек
MD5 - алгоритм шифрования - очень интересно - с каких это пор. Кроме того нахождение колизии для каждого конкретного случая очень маловероятная штука, которая работает только в лабораторных условиях на файлах типа "Я люблю маму" ...
я так понял, алгоритм находит строки, MD5-сумма которых совпадает с заданной? И какая же практичесская ценность этих строк?
Для паролей из /etc/passwd (или как там теперь модно /etc/shadow)
>Для паролей из /etc/passwd (или как там теперь модно /etc/shadow)
хотел бы я посмотреть как ты там пароли из MD5 будешь пытаться выковыривать, ты хоть раз содержимое этой папки видел? и как выглядит md5 хэш?
Это очевидно. Пассы в базе хранятся в МД5. Отправляем пасс. Его хэшат. Проверяют - подходит. Браво.
>Это очевидно. Пассы в базе хранятся в МД5. Отправляем пасс. Его хэшат.
>Проверяют - подходит. Браво.Всё не так!
Сначала пароль хэшат, а потом уже отправляют и проверяют.
>>Это очевидно. Пассы в базе хранятся в МД5. Отправляем пасс. Его хэшат.
>>Проверяют - подходит. Браво.
>
>Всё не так!
>Сначала пароль хэшат, а потом уже отправляют и проверяют.Что значит не так???
Всё от системы зависит!
Если это авторизация по алгоритму типа CHAP или MD5 c POP3, то - да, ходят хэши.
А если по POP3/SMTP/FTP/HTTP/... с хранением паролей в зашифрованном виде на сервере? Ходят плэйн-тексты..."Паника" - по обоим случаям ;)
>>>Это очевидно. Пассы в базе хранятся в МД5. Отправляем пасс. Его хэшат.
>>>Проверяют - подходит. Браво.
>>
>>Всё не так!
>>Сначала пароль хэшат, а потом уже отправляют и проверяют.
>
>Что значит не так???
>
>Всё от системы зависит!
>Если это авторизация по алгоритму типа CHAP или MD5 c POP3, то
>- да, ходят хэши.
>А если по POP3/SMTP/FTP/HTTP/... с хранением паролей в зашифрованном виде на сервере?
>Ходят плэйн-тексты...
>
>"Паника" - по обоим случаям ;)В случае md5 хеша в /etc/shadow или /etc/master.passwd там всего тысячу последовательных итераций. Поэтому на взлом нужно 8 часов*1000 = около года в лучшем случае. Про CHAP не знаю, но там вроде не лучше ситуация, из-за того, что часть ключа объединяется со случайным значением, который выбирается для клиента сервером на каждый сеанс разный. Так что единственно, где можно воспользоваться подбором коллизий - это где hash значение MD5 функции используется как ключ для поиска сжатых текстовых объектов и это является единственной проверкой на идентичность объектов, или как checksum для проверки файлов на целостность.
>В случае md5 хеша в /etc/shadow или /etc/master.passwd там всего тысячу последовательных
>итераций. Поэтому на взлом нужно 8 часов*1000 = около года в
>лучшем случае. Про CHAP не знаю, но там вроде не лучше
>ситуация, из-за того, что часть ключа объединяется со случайным значением, который
>выбирается для клиента сервером на каждый сеанс разный. Так что единственно,
>где можно воспользоваться подбором коллизий - это где hash значение MD5
>функции используется как ключ для поиска сжатых текстовых объектов и это
>является единственной проверкой на идентичность объектов, или как checksum для проверки
>файлов на целостность.
не прав в корне, как раз смысл то в другом, прогоняется проверка для всего файла сразу, кстати в папке /etc/passwd не MD5 используется
если говорить про корень, а не продиректорию в корне какой нибудь домашней папке хостинга
>не прав в корне,ха, главное не спорить, а все опошлить.
>как раз смысл то в другом, прогоняется проверка
>для всего файла сразу,Это то понятно, это и называется проверочной суммой.
> кстати в папке /etc/passwd не MD5 используется
Там действительно пароль зашифрован неизвестным алгоритмом, который любой пароль преобразует в невзламываемый символ 'x' или '*' :)
>
>если говорить про корень, а не продиректорию в корне какой нибудь домашней
>папке хостингада мы только про корень и говорили. Кстати, ты о чем ?
http://membres.lycos.fr/mdcrack/ - велкам, ламайте шо хотите ;)
>http://membres.lycos.fr/mdcrack/ - велкам, ламайте шо хотите ;)
MDCrack-NG.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Это что получается? Если коллизия находится за 8 часов, то найти пароль рута, зная хеш из /etc/shadow уже не проблема. (понятно, что он будет другой, но разницы то никакой, так как хэш один) И можно залогиниться по ssh.
Там ведь не просто md5? Да и сменить алгоритм можно...
Не совсем так, дело в том что в /etc/shadow хранится MD5 хеш исходной строки с сальтом (некоторая случайная строка), + этот самый сальт (в виде $1$salt$ xxxx) Это предотвращает использование словаря.
Конечно это не супер защита, скорей усложнение взлома.
Не совсем так. Нужно вспомнить, чего именно добились китайские специалисты прошлым летом.А добились они следующего. Предположим, существует сообщение А. Зная это сообщение А, за N часов работы можно подобрать сообщение (пусть будет Б) с тем же самым MD5-хешем, в котором часть битовых последовательностей будет такая же, как и у А.
Теоретически, это позволяет подделывать подписи (точнее, по имеющемуся документу и его хешу позволяет сделать документ с другим содержимым, но с тем же самым хешем).
На практике, ценность этого алгоритма для взлома никакая.
Пример: если исходный документ "Я лЮБЛю МАму", а второй документ "ждылваМАдлывоаЮБЛ", допустим, с тем же самым хешем, то да, хеш тот же, последовательности МА и ЮБЛ есть в обоих документах, только второй документ никакой подделкой не является.
Резюме:
1. Для взлома паролей ещё алгоритма не придумали. Напоминаю, чтобы подобрать сообщение с тем же самым хешем уже необходимо иметь исходный документ (пароль).
2. Для подписей теоретически есть опасность, но на практике, как видно -- эта опасность уж слишком надуманная.
В целом -- забей, Сеня. :)
>На практике, ценность этого алгоритма для взлома никакая.
>
>Пример: если исходный документ "Я лЮБЛю МАму", а второй документ "ждылваМАдлывоаЮБЛ", допустим,
>с тем же самым хешем, то да, хеш тот же, последовательности
>МА и ЮБЛ есть в обоих документах, только второй документ никакой
>подделкой не является.На практике ценность все же есть.
Чтобы подделать X.509 сертификат для атаки MITM нужно сгенерить второй у которого будет такое же поле CN а такой же MD5 хэщ. Все остальное может быть мусором. Мало кто каждый раз заходя на сервер по https просматирвает сертификат полностью. А браузер проверяет только чтоб в поле CN был hostname и цифровую подпись которая обычно представляет собой зашифрованный алгоритмом RSA MD5-хэш. (ну и сроки действия проверяются, но их можно варьровать в широком диапазоне).
>На практике ценность все же есть.
>Чтобы подделать X.509 сертификат для атаки MITM нужно сгенерить второй у которого
>будет такое же поле CN а такой же MD5 хэщ.А вот ещё идеи с обсуждения у Шнайера:
1. Допустим, у нас есть антивирус, который позволяет пользователю запускать только одобренные исполняемые файлы. "Одобренность" определяется базой хэшей SHA-1 или MD5. Так вот, теперь у злоумышленника может получиться так заменить только несколько байт, протроянив какой-нибудь файл, что антивирус этого не заметит. Или просто заменить любой файл из часто запускаемых пользователем, на свой вирус, при этом засунуть в него ресурс, содержащий определённые последовательности для вычисления требуемого хэша.
2. Появляется возможность распространять невесть что по файлообменным сетям. Начиная с простой порчи содержимого скачиваемых файлов, и заканчивая полной подменой исполняемых файлов (которые могут даже находиться в скачиваемых архивах) на вирусы и т.п. Ведь, например, во всеми (и даже мною ;-)) ) горячо любимой сети eDonkey используются хэши для определения ID файла.
Уж лет 20 как в приличных местах логин с рута запрещенСначала угадай имя судуера, а потом уже
А зачем тебе это все, если дух святый тебя уже содержиымым /etc/shadow напитал? Напоминает способ поимки воробья через насыпание ему соли на хвост.
Я сегодня читал про "взлом" SHA в блоге Шнайера.
http://www.schneier.com/blog/archives/2005/02/sha1_broken.htmlКак говорится, The real thing...
Там довольно большое обсжуждение, в частности о том, что считать взломом хэш-алгоритма/функции ;-)
В том числе предложен один интересный способ:
A pretty secure hash method would be something like the following:
fast:
d1= hash1(message);
d2= hash2(message);
d3= hash1((message+d1)+d2);slow:
d1= hash1(message);
d2= hash2(message);
d3= hash1((d1+message)+d2);The 2 hash functions MUST be different to a good degree (I believe SHA-1 and MD5 suffice, from my experience). The + operator is equivalent to appending the right operand onto the left, i.e. "a"+"b"="ab". d1, d2, and d3 are the message digests. All three digests MUST be distributed, along with what format the digests are in (hexadecimal or base64), along with what hash functions were used, along with the designation "slow" if the slow method is used ("fast" is default).
Ну и вообще много всего написано интересно, советую почитать :))
(я ещё сам не всё прочитал %-] )
Поясните пожалуйста, можно ли после ЭТОГО открытия, получив по ypcat passwd карту паролей с NIS сервера, за некое разумное время (сутки-двое) подобрать отмычки ко всем учетным записям?
варианты:
NIS-сервер - клиенты
Linux - Linux,
FreeBSD - Linux,
FreeBSD - FreeBSD.Если это возможно, то как перейти от использования MD5 в passwd к, например, 3DES.
Или NIS как элемент системы авторизации - на свалку?
Если ты знаешь пароль, который есть строка: "Я лЮБЛю МАму",
то через 53 дня плясок ты сгенеришь пароль: "ждылваМАдлывоаЮБЛ",
с таким же хэшем, который, возможно и пролезет. Но скорее всего будет отвергнут. Пробуй.
>Если ты знаешь пароль, который есть строка: "Я лЮБЛю МАму",
>то через 53 дня плясок ты сгенеришь пароль: "ждылваМАдлывоаЮБЛ",
>с таким же хэшем, который, возможно и пролезет. Но скорее всего будет
>отвергнут. Пробуй.
Вот что пишет Шнайер про "53 дня":In 1999, a group of cryptographers built a DES cracker. It was able to perform 2^56 DES operations in 56 hours. The machine cost $250K to build, although duplicates could be made in the $50K-$75K range. Extrapolating that machine using Moore's Law, a similar machine built today could perform 2^60 calculations in 56 hours, and 2^69 calculations in three and a quarter years. Or, a machine that cost $25M-$38M could do 2^69 calculations in the same 56 hours.
скомпилить туло, долго читать исходники, ознакомиться с основами криптографии на уровне авторов тула...Потом, от нажатия "Enter" до получения результата однажды пройдет 56 часов.
А до того: тебе придется скомпилить туло, долго читать исходники, ознакомиться с основами криптографии на уровне авторов тула... ... ... ... ... ... ...
класная трава 8) ты хоть сам то понял что сказал? речь идет об AFAIK "deepcrack" - аппаратном кластере на FPGA коим и был в далеком 1998 сломан DES за пресловутые 56 часов:
http://www.eff.org/Privacy/Crypto/Crypto_misc/DESCracker
http://www.mccullagh.org/image/950-5/deepcrack-chip.html>скомпилить туло, долго читать исходники, ознакомиться с основами криптографии на уровне авторов
>тула...
>
>Потом, от нажатия "Enter" до получения результата однажды пройдет 56 часов.
>
>А до того: тебе придется скомпилить туло, долго читать исходники, ознакомиться с
>основами криптографии на уровне авторов тула... ... ... ... ... ...
>...
угу, вы бы еще с ЛОР новости тырили.
>угу, вы бы еще с ЛОР новости тырили.Гы! Да там обсуждение покруче вашего развернулось! И что самое удивительное -- без флейма 8-[ ]..
http://www.linux.org.ru/jump-message.jsp?msgid=834080
B всё-таки хотелось бы выяснить точно один вопрос.
Предположим следующее дано: есть система, есть логин и хэш пароля из shadow, есть доступ по ssh ничем не усложнённый.
Вопрос: можно ли подобрать строку имеющую тот же хэш? и пустит ли сервер если в ответ на пароль задать подобранную строку?
Конечно можно - в данный момент на это уйдет от 80 лет (пароль символов 13) до той поры пока ты сможешь электричество оплачивать.
Почемуже 80 лет?! это еще смотря какой пассворд. Есть проги, которые брутят хэши не просто в тупую, а а тыкают разные слова(куски слов) из words-файловдопустим у меня на рабочей машине мд5 хэш второго юзверя с изветным кол-вом символов (около 13) пароль что-то типа abrarabracuda был подобран за 30 минут(селерон 2ГГЦ). поэтому я сразу поменял пароль, на абсолютно рандомный + подался в блюфиш, там спокойнее ;)
>Почемуже 80 лет?! это еще смотря какой пассворд. Есть проги, которые брутят
>хэши не просто в тупую, а а тыкают разные слова(куски слов)
>из words-файлов
>
>допустим у меня на рабочей машине мд5 хэш второго юзверя с изветным
>кол-вом символов (около 13) пароль что-то типа abrarabracuda был подобран
>за 30 минут(селерон 2ГГЦ). поэтому я сразу поменял пароль, на абсолютно
>рандомный + подался в блюфиш, там спокойнее ;)
А слабо поставить на сервер что-то типа LIDS, которое даст отлуп на час или сутки после (например) трёх неудачных попыток залогиниться? :)
Тут уже время подбора будет исчесляться столетиями, если не тысячелетиями :)
>А слабо поставить на сервер что-то типа LIDS, которое даст отлуп на
>час или сутки после (например) трёх неудачных попыток залогиниться? :)
>Тут уже время подбора будет исчесляться столетиями, если не тысячелетиями :)Угу =)) если хэш неизвестен ;)
у юниховых паролей вообще там такая ж#па с подбором, всякие таймауты лидсы )
Я говорил про подбор пароля по известному хешу. И тема вроде такая ;)
>Я говорил про подбор пароля по известному хешу. И тема вроде такая
>;)Да пороли тут не причем вообще. Наличие коллизий не ускоряет подбор паролей по известному хешу.
Основная угроза - поделка цифровых подписей при создании которых использоваля md5-хеш. Как часный случай - подделка сертификатов.
Я считаю, что конежно же, реальной опасности пока нет, и вот по какой причине: при наличии хорошо настроенного файрволла на ваш сервак можно просто обстучаться, и фиг кто пролезет. А касаемо того, что кому-то станет доступен файл /etc/shadow, то, дорогие мои, заинтересованным лицам гораздо прошше, дешевле, быстрее и т.д. и т.п. подойти к сисадмину в нерабочее время, и просто с ним "договориться", так сказать, "сделать ему предложение, от которого он просто не сможет отказаться" (Крестный Отец). ну или ешо быстрее: сотрудники спец-службы заходят в здание, всех кладут фэйсом на пол, и спрашивают: "а не подскажите где тут сисадмин тусуется?", и как вы думаете, никто не скажет чтоль? ну и сисадмин не дурак, нафиг ему проблеммы и нервные парни с пистолетами в руках..., он еще и поможет, ибо деваться ему будет некуда. вот собственно и все, не нада никаких хитрых программ подбора md5, или ешо чего, да собственно, и самих паролей-то знать не нада...
Я подозреваю, что фигня все это.
Если есть алгоритм, то должны быть и проги, юзающие его.
Я почему-то ни одной не нашел.
Возник такой вопрос: алгоритм ищет два текста с одинаовым хэшем или подбирает текст к определённому хэшу???
Джон перебирает тупым брутом на трех потоках 6 символьный пароль по хешу за 40 минут на машине с атлоном 35008 символьный пароль сдается за двое суток при использовании латиницы и цифр
на кластере мощностью гигафлоп в 100 150 (средняя заводская аппаратная) 10 символьный сдастся за неделю. Джон выдаст парольную фразу которая будет схавана шадоу и откроет доступ. Причем не важно будет это коллизия или реальная фраза
При быстром алгоритме поиска коллизий угроза одна - открытый доступ к данным, Будь то шадоу или криптоключ с указанными алгоритмами.
Здравствуйте.
Шарящие в вопросе, подскажите, пожалуйста:
Есть MD5 хэш.
Мы знаем что он "получился" из строки "A.B.C"
где A - известное нам число
B - неизвестное число от 1 до 100
С - неизвестное число максимум из 18 цифр
Реально ли написать софт, который будет находить B и C?
Типа вводим хэш и число A. Программа перебирает все возможные комбинации A, B и C и хэш каждой сравнивает с исходным. Есть совпадение, выдает нам значения B и C. Как-то так.
Я абсолютный ноль во всей это теме, но теоретически все выглядит просто =)
А как все обстоит в действительности?
эх рулетка, тоже занимаюсь сейчас этим вопросом. Так то это все реализуется. Вот только даётся на все это 5 минут. Перебор такого огромного кол - ва вариация занимает очень много времени. Если решить вопрос со временем, то это все реализуемо