Чтобы проверить, насколько легко подобрать файлы с одинаковым хешем MD5, программист Нэт Макхью (Nat McHugh) провёл эксперимент в облаке Amazon. Результат поразительный: поиск коллизий занял 10 часов и стоил ему всего лишь 65 центов на оплату вычислительных ресурсов облака.

Слабость хеш-алгоритма MD5 давно известна, но теперь ясно, что провести атаку такого типа может любой желающий без особого труда. А ведь ещё несколько лет назад это казалось «высшим пилотажем». Например, такие коллизии использовали авторы «государственного» шпионского трояна Flame для подделки цифровых сертификатов Windows Update и загрузки вредоносного кода на компьютеры жертвы под видом обновления Windows.

Макхью в своём эксперименте подобрал две разные картинки, у которых совершенно одинаковый хеш MD5.

003

004

Чтобы сгенерировать картинку с заданным MD5, программист использовал метод атаки с выбранным префиксом (chosen prefix collision), когда произвольные бинарные данные добавляются в конец JPEG-файла, то есть к известному префиксу. Для автоматического подбора «аппендиксов» и проверки хешей существует специальная программка HashClash.

10 комментариев

  1. 12.11.2014 at 20:31

  2. 12.11.2014 at 21:08

  3. 12.11.2014 at 22:33

    То есть дело не в картинках, а в том мусоре, который приписали после них?

    • 13.11.2014 at 09:58

      Да, формально это читерство, но на практике можно вставить нужный мусор в каком-нибудь ехе-шнике трояна и его md5 будет соответствовать легальной программе.

  4. http://jbzoo.com/

    14.11.2014 at 10:18

    Какая популярная функция нынче надежной считается? sha1?

    • 26.12.2014 at 16:39

      Самые надёжные шифры — шифры которые изготовил ПОЛНОСТЬЮ САМ, и ЖЕЛАТЕЛЬНО С НУЛЯ

  5. 14.11.2014 at 23:11

    Что за тема на первой картинке, или дополнение какое?

  6. 14.11.2014 at 23:17

    Что за сборка ?

  7. 16.11.2014 at 15:00

    >две разные картинки
    Вижу двух негров, в чём разница?

    • 26.12.2014 at 16:41

      MD5 схож! + это чёрно-белые картинки так что если тебя распечатать чёрно-белым ты тоже будешь негром xD

Оставить мнение