MD5 менее безопасный, чем SHA и. al. в практическом смысле?

В этом конкретном случае я не думаю, что самое слабое звено вашего приложения использует md5, а чем ша. Способ, которым md5 «ломается», заключается в том, что, учитывая, что md5 (K) = V, можно генерировать K 'таким образом, что md5 (K') = V, потому что выходное пространство ограничено (не потому, что есть какие-либо трюки, чтобы уменьшить пространство поиска). Однако K 'не обязательно является K. Это означает, что если вы знаете md5 (M + T + P) = V, вы можете сгенерировать P' так, чтобы md5 (M + T + P ') = V, это дает действительную запись. Однако в этом случае сообщение остается прежним, и P не был скомпрометирован. Если злоумышленник попытается подделать сообщение M 'с отметкой времени T', маловероятно, что md5 (M '+ T' + P ') = md5 (M' + T '+ P), если только P' = P. В этом случае они бы взломали пароль. Если они взломали пароль, то это означает, что не имеет значения, использовали ли вы sha или md5, поскольку проверка того, что md5 (M + T + P) = V эквивалентна проверке, является ли sha (M + T + P). ) = V. (за исключением того, что вычисление ша может занять постоянное время, что не влияет на сложность грубой силы на P).

Однако, учитывая выбор, вы действительно должны просто пойти дальше и использовать ша. Нет смысла не использовать его, если только у него нет серьезного недостатка.

Во-вторых, вам, вероятно, не следует хранить пароль пользователя в вашей базе данных в виде простого текста. То, что вы должны сохранить, это хеш пароля, а затем использовать его. В вашем примере хеш будет иметь: md5 (сообщение + время + md5 (пароль)), и вы можете безопасно хранить md5 (пароль) в вашей базе данных. Однако злоумышленник, крадущий вашу базу данных (с помощью SQL-инъекции), все равно сможет подделать сообщения. Я не вижу никакого способа обойти это.

, если вы собираетесь генерировать хэш-макинтош не выдумывай свою схему. используйте HMAC . Есть проблемы с выполнением HASH (секретный ключ || message) и HASH (сообщение || секретный ключ). если вы используете пароль в качестве ключа, вы также должны использовать функцию получения ключа. взгляните на pbkdf2 .

There is nothing insecure about using MD5 in this manner. MD5 was only broken in the sense that, there are algorithms that, given a bunch of data A additional data B can be generated to create a desired hash. Meaning, if someone knows the hash of a password, they could produce a string that will result with that hash. Though, these generated strings are usually very long so if you limit passwords to 20 or 30 characters you're still probably safe.

The main reason to use SHA1 over MD5 is that MD5 functions are being phased out. For example the Silverlight .Net library does not include the MD5 cryptography provider.

Да, кто-то может отправить сообщение и правильный хеш, не зная общего пароля. Им просто нужно найти строку, которая хэширует одно и то же значение.

Насколько это распространено? В 2007 году группа из Нидерландов объявила, что предсказала победителя президентских выборов 2008 года в файле со значением хеш-функции MD5 3D515DEAD7AA16560ABA3E9DF05CBC80 . Затем они создали двенадцать файлов, все идентичные, за исключением имени кандидата и произвольного числа пробелов, которые хэшируются до этого значения. Хэш-значение MD5 бесполезно в качестве контрольной суммы, потому что слишком много разных файлов дают одинаковый результат.

Это тот же сценарий, что и у вас, если я правильно вас понял. Просто замените «имя кандидата» на «секретный пароль». Если вы действительно хотите быть в безопасности,

MD5 обеспечивают больше коллизий, чем SHA, что означает, что кто-то может фактически получить тот же хеш из другого слова (но это редко).

Семейство SHA известно своей надежностью, SHA1 был стандартным для ежедневное использование, в то время как SHA256 / SHA512 был стандартом для правительственных и банковских устройств.

Для вашего личного веб-сайта или форума я предлагаю вам рассмотреть вопрос о SHA1, а если вы создаете более серьезный тип торговли, я предлагаю вам использовать SHA256 / SHA512 (семейство SHA2)

Вы можете проверить статью в Википедии о MD5 & SHA

Ответ Брайана охватывает вопросы, но я думаю, что его нужно объяснить чуть менее многословно

Вы используете неправильный криптографический алгоритм здесь

MD5 здесь неправильный, Sha1 - это неправильно использовать здесь Sha2xx неправильно использовать, а Skein использовать неправильно.

То, что вы должны использовать, - это что-то , похожее на RSA .

Позвольте мне объяснить:

Ваш безопасный хеш эффективно отправляет пароль для просмотра всему миру.

Вы упоминаете, что ваш хэш - «время + полезная нагрузка + пароль», если третье лицо получает копию вашей полезной нагрузки и знает время. Он может найти пароль (используя грубую силу или словарную атаку). Таким образом, это почти как если бы вы отправляете пароль в виде открытого текста.

Вместо этого вам следует взглянуть на криптографию с открытым ключом , чтобы ваш сервер отправлял открытые ключи вашим агентам, а агенты шифровали данные с помощью открытого ключа.

Ни один человек посередине не сможет сказать, что в сообщениях, и никто не сможет подделать сообщения.

В примечании стороны, MD5 достаточно сильный , большая часть время.

Это зависит от того, насколько ценным является содержание сообщений. Семейство SHA явно более безопасно, чем MD5 (где «более безопасный» означает «сложнее подделать»), но если ваши сообщения обновляются в твиттере, то вам, вероятно, все равно

Если эти сообщения являются уровнем IPC распределенной системы, которая обрабатывает финансовые транзакции, то, возможно, вас это волнует.

Обновление: я должен также добавить, что два алгоритма дайджеста по существу взаимозаменяемы во многих отношениях, так как гораздо больше трудностей, действительно ли было бы использование более безопасного?

Обновление 2: это гораздо более подробный ответ: http://www.schneier.com/essay-074.html

Я не собираюсь комментировать MD5 / SHA1 / и т. Д. вопрос, так что, возможно, вы посчитаете этот вопрос спорным, но кое-что, что меня очень немного удивляет, это всякий раз, когда используется MD5 и соавт. для хеширования паролей в базах данных.

Если кто-то копается в вашей базе данных, то он вполне может захотеть взглянуть на ваши хэши паролей, но вполне вероятно, что он захочет украсть личную информацию или любую другую данные, которые вы можете хранить в других таблицах. Честно говоря, в этой ситуации вам нужно жарить большую рыбу.

Я не говорю, что игнорируйте проблему, и, как я уже сказал, это не имеет большого отношения к тому, следует ли использовать MD5, SHA1. или что угодно, чтобы хэшировать ваши пароли,

Оба MD5 и SHA-1 имеют криптографические уязвимости. MD4 и SHA-0 также скомпрометированы.

Вероятно, вы можете безопасно использовать MD6, Whirlpool и RIPEMD-160.

См. Следующую презентацию из Принстонского университета, прокрутите вниз до последней страницы.

http: / /gcu.googlecode.com/files/11Hashing.pdf[1223 impression

Да, стоит побеспокоиться о том, какой хеш использовать в этом случае. Давайте сначала посмотрим на модель атаки. Злоумышленник может не только попытаться сгенерировать значения md5 (M + T + P), но также может попытаться найти пароль P. В частности, если атакующий может собрать наборы значений M _i , T _i , и соответствующий md5 (M _i , T _i , P), то он / она может попытаться найти P. Эта проблема не изучалась как широко используется для хэш-функций, например, для поиска коллизий. Мой подход к этой проблеме состоял бы в том, чтобы попробовать те же типы атак, которые используются против блочных шифров: например, дифференциальные атаки. А поскольку MD5 уже очень уязвим для дифференциальных атак, я могу предположить, что такая атака здесь может быть успешной.

Поэтому я рекомендую вам использовать здесь более сильную хеш-функцию, чем MD5. Я также рекомендую вам использовать HMAC вместо md5 (M + T + P), потому что HMAC был разработан для описываемой вами ситуации и был соответствующим образом проанализирован.