>> Stiu ca s-a mai discutat pe tema, sau a mai fost ceva posturi despre >> asta, dar acum am dat de ceva exemple practice: >> >> http://www.codeproject.com/useritems/HackingMd5.asp
Nu sunt un expert in criptografie, dar am avut un pic de contact cu domeniul, asa ca as dori sa adaug si eu cei doi centi proverbiali. In ceea ce priveste algoritmii de hashing (MD5, SHA-1 etc.), existenta coliziunilor era implicita de la inceput. Un sir de caractere de lungime finita (32 pt. MD5) are, evident, un numar finit de posibile variante. Cu alte cuvinte: daca exista N hash-uri distincte posibile si daca in lume exista cel putin N+1 documente, atunci rezulta ca cel putin doua documente vor genera acelasi hash. Problema reala in "spargerea" acestor algoritmi este gasirea unei metode ca, pornind de la ORICARE document A dat sa poti genera o coliziune, adica un alt document B care genereaza acelasi hash. Mai mult, pentru a putea fi utilizat in practica, documentul B trebuie sa aiba si el sens, nu sa fie doar o insiruire de biti arbitrari. Cu MD5 s-au facut intr-adevar progrese spre a-l sparge, dar, din cate stiu eu, in nici un caz nu s-a gasit o metoda definitiva si repetabila. Sunt doar cazuri particulare, execitii teoretice. Nu e nimic alarmant sau anormal in asta. Dimpotriva, e chiar benefic. Algoritmii de hashing si criptare in cheie publica sunt publici. Si asta e un avantaj, nu un dezavantaj. Asta garanteaza ca vor exista echipe de matematicieni care vor cauta sa gaseasca vulnerabilitati si mecanisme de a le exploata. Ceea ce va conduce la creearea unor algoritmi de criptare tot mai buni. Daca vreti, e un process de feedback continuu. Un alt aspect de luat in consideratie: "spargerea" unor astfel de algoritmi este costisitoare ca timp si/sau resurse. Deci un hacker nu le va folosi decat daca ceea ce obtine in final ii poate amortiza costurile. Cu alte cuvinte: alegerea sau schimbarea sistemelor de securitate depinde in mare masura si de importanta datelor protejate sau de potentialele pierderi pe care o spargere le-ar putea cauza. Vor deveni MD5 si SHA-1 depasiti? Cu siguranta - dar va mai trece ceva timp (ani), timp in care alti algoritmi evolueaza si se "impamantenesc". Personal, eu nu vad deocamdata absolut nici un motiv de panica. Dupa cum bine spunea cineva: "Security is a process". Toate cele bune, Sebastian _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
