Citat:
Originally posted by emilv@Sep 29 2008, 19:49
Ingen reell risk. Det finns enstaka lyckade försök att skapa två filer som ger samma MD5-hash, men ett lösenord är sällan speciellt långt :-) Det var dock först när man lyckades med detta som det rent allmänt började pratas om att byta till SHA-1, så möjligen är det därför MD5 anses "osäkert" idag. Så ska vi ju inte sticka under stol med att det finns en drös regnbågstabeller för MD5 numera också, och det hjälper ju till att minska säkerheten.
|
Fast det är ändå stor skillnad på att modifiera två filer som ger samma hashvärde, än att leta efter "kollisioner" till en given hash (pre-image attack).
Det tar inte många sekunder att skapa två olika texter som ger samma MD5-hashvärde, dock måste jag modifiera båda texterna för att kunna göra detta. Så som signeringsalgoritm är MD5 relativt värdelös. Men som lösenordsalgoritm där attackeraren bara kan modifiera den ena av strängarna funkar MD5 än idag, ingen har lyckats hitta den typen av "kollision" i MD5.
Jag håller med om att det finns mkt regnbågstabeller till just MD5, därav ska man inte använda en ren MD5 summa i lösenordsystem, vill man fortsätta med MD5 måste man se till att ha salt för att motverka regnbågarna + att man itererar hashen några gånger för att försvåra bruteforce.
Sen finns det ju folk som inte litar på SHA-algoritmerna över huvudtaget pga att amerikanska myndigheterna varit inblandade i framställningen av dessa, så en del föredrar t.ex den europeiska RIPEMD-160 istället.