| |||||||
adm | Find | login register |
md5 hash collision 會不會造成重大 security 的問題,我是覺得還好。 有些人會說 file server 如果被入侵, file 被換掉,造成 security 的問題。 目前 md5sum 的 file 與 data通常是分開的,既然 file server被入侵了,那當然是 md5sum file 與 data 同時被改,誰會有閒功夫去弄一個一樣 md5sum 的 data file。
至於密碼驗證的 md5sum,應該也是還好 1. 密碼 data 不是公開的,在 Linux 中 password 是放在一般使用者沒有辦法讀取的 file(/etc/shadow),如果 password data 還是被盜走 2. 可以用 password salt 來大幅度提昇被破解困難度。如果還嫌不夠,可以用 double/triple ... salt。 PHP 上是也可以用 sha1,不過也是曾經被質疑安全性。 edited: 2
| ||||||||||||
在這裡。 http://blog.gslin.org/archives/2007/12/03/1378/ 未雨綢繆一下也是好的。以前 md5 出現也是為了 md4 不安全呀!
sha256 應該會比 sha1 好? | ||||||||||||
既然 MD5 那麼長的都檢查了,那 file size 也應該檢查一下。 或者把 file size 加入 MD5 checksum 一起計算,這樣是不是可以避免這個問題? | ||||||||||||
在 Google 上可以找到一些計算 md5 collision 的原始碼。據說,用一般電腦破解不用一個小時... |
| |||||||
adm | Find | login register |