cht電腦資訊Linux
adm Find login register

md5 hash collision

eliu

joined: 2007-08-09
posted: 11468
promoted: 617
bookmarked: 187
新竹, 台灣
1subject: md5 hash collisionPromote 0 Bookmark 12007-12-18quote  

md5 hash collision 會不會造成重大 security 的問題,我是覺得還好。

有些人會說 file server 如果被入侵, file 被換掉,造成 security 的問題。 目前 md5sum 的 file 與 data通常是分開的,既然 file server被入侵了,那當然是 md5sum file 與 data 同時被改,誰會有閒功夫去弄一個一樣 md5sum 的 data file。

 

至於密碼驗證的 md5sum,應該也是還好

1. 密碼 data 不是公開的,在 Linux 中 password 是放在一般使用者沒有辦法讀取的 file(/etc/shadow),如果 password data 還是被盜走

2. 可以用 password salt 來大幅度提昇被破解困難度。如果還嫌不夠,可以用 double/triple ... salt。 

PHP 上是也可以用  sha1,不過也是曾經被質疑安全性。

edited: 2
本人已不在此站活動

joined: 2007-09-19
posted: 4946
promoted: 325
bookmarked: 206
歸隱山林
2subject: Promote 0 Bookmark 12007-12-04quote  

在這裡。微笑

http://blog.gslin.org/archives/2007/12/03/1378/

未雨綢繆一下也是好的。以前 md5 出現也是為了 md4 不安全呀!

sha256 應該會比 sha1 好?


eliu

joined: 2007-08-09
posted: 11468
promoted: 617
bookmarked: 187
新竹, 台灣
3subject: Promote 0 Bookmark 12007-12-04quote  

然後利用後面的空間接一段垃圾用以「湊」出同樣的 MD5 Digest

既然 MD5 那麼長的都檢查了,那 file size 也應該檢查一下。

或者把 file size 加入 MD5 checksum 一起計算,這樣是不是可以避免這個問題?

Tetralet

joined: 2007-11-27
posted: 255
promoted: 35
bookmarked: 13
4subject: Promote 0 Bookmark 22007-12-05quote  

在 Google 上可以找到一些計算 md5 collision 的原始碼。據說,用一般電腦破解不用一個小時...

CC: PHP
cht電腦資訊Linux
adm Find login register
views:14100