Vlákno názorů k článku
Nalézání kolizí MD5 - hračka pro notebook

Proc je prvni a druha zpava v ukazce stejna? Pak samozrejme MD5 vyjde take stejne (: Nebo jsem neco prehlid?

Jinak je to zajimavy poznatek, teorie dobra na napsani clanku a ziskani carky za vedu, ale v realu dost stezi vyuzitelne. Ostatne kolize jsou u kazde hashe (uz z principu ze ;) akorat je odhalit jinak nez brute force...

nojo lisi se to... (:o

Ostatne kolize jsou u kazde hashe (uz z principu ze ;) akorat je odhalit jinak nez brute force..
Ano a to je presne ono. Sila hashovaci funkce se prave meri tim, jak dlouha doba je nutna pro nalezeni kolize (dvou ruznych zprav se stejnou hashi). Pokud je doba relativne kratka (napr. 8 hodin na obyc. PC), pak je hash funkce spatna a neda se pouzivat. Pokud je doba dlouha, je hash silna (i presto, ze prakticky musi existovat dve zpravy se stejnou hashi pro vybranou hash funkci).

jasne 100% souhlas. Otazka je jestli se to da zneuzit (realne). To by me zajimalo vic nez ze se relativne rychle da najit nejaky chumel cisel co nahodou ma stejny hash.

viz [4] Ondrej Mikle: Practical Attacks on Digital Signatures Using MD5 Message Digest, Cryptology ePrint Archive, Report 2004/356, 2nd December 2004. Prakticky priklad je na 2.strance obrazek 1 http://eprint.iacr.org/2004/356.pdf. Staci?

to jsem hledal, dik :)

Diky za odpoved. V listopadu jsme mohli jen rikat, "kdybychom byli schopni nalezat kolize pro libovolny inicializacni vektor jako Cinani...". Proto Ondra naprogramoval ukazku, ktera vyuziva jen jedne ze dvou konkretnich kolizi, ktere jsme meli od Cinanu k dispozici.

Ted jsme v situaci, kdy si muzeme kolize vyrabet sami a to pro libovolny inicializacni vektor.

Pak mame schema mnohem zajimavejsi:

1) P = zvolte libovolnych X*512 bitu (treba doc, xls... dokument, smlouva, apod.)

2) vypocteme mezivysledek hase pri hasovani P (neuzavirame), rekneme, ze tento mezivysledek je inicializacni hodnota MD5

3) programem vygenerujeme dve ruzne nesmyslne 1024bitove zpravy (M1, M2) se stejnou hasi (pro nami uvedenou inicializacni hodnotu).

4) zvolime libovolny smysluplny nebo nesmysluplny text, binar apod. Y (nasobek 512 bitu)

Plati:

MD5(P, M1) = MD5(P, M2)
MD5(P, M1, Y) = MD5(P, M2, Y)

cili z dane kolize lze vyrabet libovolne dlouhe kolidujici zpravy

postup je i s obrazky v prednasce na BIS, http://cryptography.hyperlink.cz/2004/kolize_hash.htm

stranku jsem dnes predelal, aby byly pohromade nektere veci

A kdyz uz jsme u te prednasky na BIS, budes nekde (na miste pristupnem beznym smrtelnikum) povidat i o techhle novych vecech (az ten algoritmus doladis a zverejnis)? Zaslechla jsem cosi o CryptoFestu, ta zimni prednaska z matfyziho seminare by si mozna take zaslouzila letni (trochu akcnejsi) followup :)

prednasku na BIS samozrejme predelam na zaklade zkusenosti z minula a pridam novinky
ta prvni byla otukavaci, nevedel jsem, co osazenstvo vi a co ocekava
tesim se, doufam, ze ucastniky zase poňouknu k nějaké akci