Hlavní navigace

Vlákno názorů k článku Totálně nebezpečné certifikáty s MD5 od papouch - nevim jestli jsem dobre pochopil, omluvte stareho cloveka... Znamena...

  • Článek je starý, nové názory již nelze přidávat.
  • 25. 10. 2006 9:32

    papouch (neregistrovaný)
    nevim jestli jsem dobre pochopil, omluvte stareho cloveka...

    Znamena to v praxi, ze kdyz mam certifikat, kde (treba ve Firefoxu) "algoritmus podpisu certifikace" = "PKCS #1 MD5 se šifrováním RSA", dal by se "naklonovat" tak ze se vsechny udaje zmeni a na spravny hash se to pak "dorovna" pomoci zmeny verejneho klice?

    Jinak receno, kdyz je jeden opravdovy certifikat od Thawte, da se jich v ramci toho jednoho MD5 hashe vyrobit kolik kdo chce?
  • 25. 10. 2006 12:30

    Mikuláš Patočka (neregistrovaný)
    Ne, to jsi pochopil špatně.

    Existující certifikát se nedá naklonovat, dají se pouze vytvořit dva certifikáty se stejným MD5. Nicméně k existujícímu certifikátu jeho klon se stejným MD5 nevyrobíš.

    IMHO je panika zbytečná.
  • 25. 10. 2006 17:09

    CyberBob66 (neregistrovaný)
    Taky bych řekl, že je zbytečná.
    moje banka má SHA-1 a navíc certifikáty nejsou jediný prvek, nak kterém stojí moje bankovnictví. Takže se (snad) není čeho bát.
  • 25. 10. 2006 17:21

    Ondrej Cecak (neregistrovaný)
    IMHO je panika zbytečná. => IMHO titulek je naprosto zavadejici, jeden by rekl az bulvarni
  • 26. 10. 2006 7:49

    bez přezdívky
    Já si Vašeho názoru vážím, a navíc máte pravdu. Nicméně jsem se při psaní názvu musel nějak rozhodnout. Když se podíváte na diskusi, jde nakonec jen o peníze. Banky je potřeba držet ve střehu, MS aj. giganty taky. Podívejte se, jak dlouho trvá, než nějaký nebezpečný kryptografický nástroj vyřadí. Je potřeba, aby takové zprávy četli a vzdělávali se. Je to určeno taky uživatelům, aby se na základě toho ptali, jak je co bezpečné a byli také trochu ve střehu. Kdyby se to nedělalo, tak dodnes šifrujeme pomocí jednoduché substituce a na phishingové dopisy by naletělo 99% lidí místo dnešních několika procent. Takže titulek není zcela v pořádku, nicméně obsah a ta diskuse ano.

    Zkusím jiný titulek: "Nový útok na MD5 není využitelný k nabourání se do internetbankingu České spořitelny, KB a dalších." Jenže tohle zrovna nemůžu tvrdit, protože nevím, jestli se ta vlastnost nedá nějak využít. A nemusí to jít ani přes certifikáty. Článek vlastně informuje o tom, co je na MD5 špatné a špatnější než dříve. Když se podíváte na to, co se dalo vymyslet za útoky s jedinou kolizí MD5, potom s možností je generovat pro různé IV (viz například "Dejte mi jakékoliv tři soubory a já Vám vrátím libovolné jiné tři se stejnou haší" na http://cryptography.hyperlink.cz/2004/kolize_hash.htm), tak tahle referovaná vlastnost bude mít určtitě ještě nějaké další "zajímavé" využití (na distribuci SW se zadními vrátky stačí ta předchozí...). Titulek jsem směroval na certifikáty, protože tady je demonstrováno, že jsou nabourány základní vlastnosti certifikátu.

    Nejde ale jen o certifikáty. Hašovací funkce se používají mnoha způsoby (v kódu Windows bylo nalezeno 150 zdrojových kódů MD5). Každá vlastnost, která je odlišuje od náhodného orákula, je z teoretického hlediska odepisuje. MD5 byla teoreticky odepsána už mnohokrát. V praxi je to pořád jinak. Nejsem zavilý teoretik (živím se praxí) takže pro ty, kdo nemohou MD5 vyhodit (v různých HW, firmwarech apod.) a mohou jen volat funkci MD5, jsem dokonce navrhl konstrukci, aby i tak ještě nějakou dobu mohli s ní existovat. Všechny současné útoky na MD5 a mnoho dalších lze odvrátit konstrukcí MD5(IV, MD5(IV, const1,m), MD5(IV,const2,m) ) místo MD5(IV,m). Je to dvakrát pomalejší (u dlouhých zpráv) a cca třikrát u krátkých zpráv, ale můžete využít volání standardní funkce MD5 v knihovně, firmwaru apod. Zprávu m začnete hašovat dvakrát, jednou ji předřadíte konstantní blok const1, podruhé const2. Na zřetězení obou výsledků pak ještě jednou zavoláte MD5.