Citat:
Originally posted by eg0master@Jan 21 2005, 17:20
Att säga att "MD5 är bra för det är standard" är rätt, men att i samma mening säga att det är ett problem för det finns olika implementationer av MD5 är inte helt korrekt. Det finns en korrekt implementation och det finns massor av felaktiga implementationer som amatörer gjort själva istället för att använda ett riktigt bibliotek. Vitsen med en standard är ju att det inte finns några tvetydigheter...
|
Samma mening? Hmm, jag tror inte jag sa det där första?
Men iaf, jag pratar av egen erfarenhet efter att en kund hade köpt ett krypteringsobjekt av en amerikansk mjukvaruutvecklare som tyvär hade felaktigheter (detta upptäcktes efter 2 år av mig). Så ja, visst är det jättebra med standarder, men att kräva en kodrevision när man köper mjukvara av seriösa företag är det väl ingen som tänker på i första taget. Det jag menade var: testa vilka checksummor ni får och dubbeltesta med andra md5 verktyg. Får ni samma resultat = kör på. Även när man kör en "inbyggd" funktionalitet så är det inte bara att tuta och köra (tänker exempelvis på .Net's security classer).
Om ni vill testa lite bruteforce, testa att hasha ett ord här:
www.securitystats.com/tools/hashcalc.php
...klipp ut hashkoden för en av algorithmerna och kör in den här:
www.securitystats.com/tools/hashcrack.php
..och se hur fort den brute-forcear den.