[LOR] MD5-суммы в дереве портов FreeBSD объявлены устаревшими

[rssbot]

В файлах distinfo, использующихся в системе портов FreeBSD для контроля целостности исходных текстов, произошел полный переход на использование алгоритма вычисления контрольных сумм SHA-256. Это означает, что в файлах distinfo от новых пакетов MD5-суммы указываться не будут, а существующие строки с указанием MD5-сумм игнорируются. Такое решение принято, поскольку алгоритм SHA-256 является более стойким к криптоанализу, чем MD5, а проверка сразу двух видов контрольных сумм не увеличивала бы безопасность.

оригинал на linux.org.ru

[sash-kan]

more.

p.s. и чего мелочатся? переходили бы уж на какой-нибудь blabla-32768. чтоб хватило ещё лет на десять…

[taaroa]

p.s. и чего мелочатся? переходили бы уж на какой-нибудь blabla-32768. чтоб хватило ещё лет на десять…

Spoiler

emerge -f openssh

These are the packages that would be fetched, in order:

Calculating dependencies... done!
[ebuild R ] net-misc/openssh-5.6_p1-r2 USE="X hpn kerberos libedit pam tcpd -X509 -ldap (-selinux) -skey -static" 0 kB

Total: 1 package (1 reinstall), Size of downloads: 0 kB

Would you like to fetch the source files for these packages? [Yes/No]

>>> Fetching (1 of 1) net-misc/openssh-5.6_p1-r2
* openssh-5.6p1.tar.gz RMD160 SHA1 SHA256 size ;-) ... [ ok ]
* openssh-5.6p1-hpn13v10.diff.gz RMD160 SHA1 SHA256 size ;-) ... [ ok ]
* checking ebuild checksums ;-) ... [ ok ]
* checking auxfile checksums ;-) ... [ ok ]
* checking miscfile checksums ;-) ... [ ok ]

RMD160 SHA1 SHA256 size ;-) ... [ ok ]

[drBatty]

p.s. и чего мелочатся? переходили бы уж на какой-нибудь blabla-32768. чтоб хватило ещё лет на десять…

разве MD5 кто-то уже взломал?

[/dev/random]

разве MD5 кто-то уже взломал?

Ссылку не приведу, но найден алгоритм, позволяющий преобразовать за разумное время известный текст так, чтобы не изменилась md5. Правда, я не уверен, что в результате удастся получить что-то осмысленное.

[frp]

разве MD5 кто-то уже взломал?

ДАВНО существуют быстрые алгоритмы поиска коллизий MD5.

[taaroa]

p.s. и чего мелочатся? переходили бы уж на какой-нибудь blabla-32768. чтоб хватило ещё лет на десять…

разве MD5 кто-то уже взломал?

http://www.mscs.dal.ca/~selinger/md5collision/

pwnd

[drBatty]

http://www.mscs.dal.ca/~selinger/md5collision/

pwnd

ДАВНО существуют быстрые алгоритмы поиска коллизий MD5.

замена мусора на мусор не интересна.

Ссылку не приведу, но найден алгоритм, позволяющий преобразовать за разумное время известный текст так, чтобы не изменилась md5. Правда, я не уверен, что в результате удастся получить что-то осмысленное.

что значит "преобразовать"?

Существует алгоритм получения двух файлов с мусором, md5 которых совпадает. А теперь объясните, ЧЕМ это поможет злоумышленнику?

Предположим, у меня есть доступ к distinfo, и на чтение, и на запись. Я хочу внедрить закладку. Для этого мне нужно преобразовать какой-либо заданный файл, в вполне определённое состояние. Т.е. тут нет мусора ни на входе, ни на выходе. Куда тут коллизии ваши вставить?

В своё время я сломал CRC32, мне понадобилось изменить файл, но так, что-бы его CRC32 не изменилась. Это оказалось не слишком сложным - достаточно было иметь несколько байтов, которые можно менять произвольным образом (например не инициализированные данные в программе, или комментарий в исходнике). Но это CRC32, а что делать с MD5? Расскажите пожалуйста. Куда мне вставить вашу коллизию - два файла с мусором, которые имеют одинаковую MD5?

[MrClon]

Во первых почитай про крипотопаранойю, во вторых как я понял из ссылки выше можно получить не простот два пуска мусора, а нечто вполне вразумительное.

[taaroa]

http://www.mscs.dal.ca/~selinger/md5collision/

pwnd

замена мусора на мусор не интересна.

Там, по ссылке, все разжёвано и с картинками. Но вы, вероятно, по ссылкам не ходите...

[/dev/random]

Существует алгоритм получения двух файлов с мусором, md5 которых совпадает.

Не-не-не, генерируются не два файла, а один. Другой просто подаётся на вход.

[drBatty]

Во первых почитай про крипотопаранойю

что именно?
давайте цифры сделаем 3000значными - чтоб подобрать сложнее было.

во вторых как я понял из ссылки выше можно получить не простот два пуска мусора, а нечто вполне вразумительное.

выглядит потрясно! Вот только это всё тоже самое: Фактически имеем 3 файла:
1) good
2) evil
3) trash
make просматривает содержимое файла (3) и в зависимости от его содержимого собирает либо (1), либо (2). Т.к. у нас есть 2 разных мусорных файла (3) с одной MD5, мы можем управлять процессом условной компиляции, и либо включать закладку либо не включать. Вот только кто-же нам такое позволит?

Там, по ссылке, все разжёвано и с картинками. Но вы, вероятно, по ссылкам не ходите...

нет у меня трафика картинки смотреть, к тому-же я читать умею.

Не-не-не, генерируются не два файла, а один. Другой просто подаётся на вход.

какая разница? в итоге 2 файла с мусором.

[/dev/random]

какая разница? в итоге 2 файла с мусором.

Один из них - вменямый, просто не любой подойдёт, но "в природе" подходящие встречаются. Второй - может с мусором, а может и без мусора можно получить, точно сказать не могу.

[drBatty]

Один из них - вменямый, просто не любой подойдёт, но "в природе" подходящие встречаются. Второй - может с мусором, а может и без мусора можно получить, точно сказать не могу.

что-то не припоминаю такого генератора. Может это очередная вариация на тему "переключателя", когда одна программа содержит две части, каждая из которых выполняется для своего "мусорного ключа"?

[MrClon]

drBatty
как я это понимаю: есть файл A (хороший, годный), есть алгоритм позволяющий достаточно быстро создать файл файл MD5 хэш которого будет равен MD5 хэшу файла A. Если этот алгоритм повторить n раз то можно будет получить n различных файлов MD5 хэш которых равен MD5 хэшу файла A. Теоретически рано или поздно алгоритм выдаст файл который не только идентичен файлу A по MD5 хэшу но и может выполнить rm -rf / будучи запущенным. И вот тут в дело вступает криптопаранойя (:

[Bluetooth]

Не-не-не, генерируются не два файла, а один. Другой просто подаётся на вход.

какая разница? в итоге 2 файла с мусором.

По ссылке есть два разных рабочих бинарника с одним md5. Более того, ниже там есть даже утилита, помогающая такие бинарники делать самому. По-моему, всего этого хватает, чтобы отказаться от md5 везде, где только можно.

[drBatty]

как я это понимаю: есть файл A (хороший, годный), есть алгоритм позволяющий достаточно быстро создать файл файл MD5 хэш которого будет равен MD5 хэшу файла A

нет. Нет такого алгоритма. Есть алгоритм для создания двух файлов B и C содержащих мусор и имеющих одинаковую MD5.
А ещё можно сделать часть с rm -rf, назовём её D, и кроме того, селектор E, который выбирает что запускать, A или D. Вот и получается: хороший годный файл BADE, и деструктивный CADE. Причём их MD5 совпадает.

Может для вас нет разницы, но на самом деле, "годный" файл BADE УЖЕ содержит деструктивную компоненту.

По-моему, всего этого хватает, чтобы отказаться от md5 везде, где только можно.

если не понимать как работают эти бинарники, то и SHA-256 не поможет.

[watashiwa_daredeska]

Есть алгоритм для создания двух файлов B и C содержащих мусор и имеющих одинаковую MD5.

Есть алгоритм, который для файлов B и C позволяет получить B' и C' такие, что md5(B')==md5(C'), B'[:len(B)]==B, C'[:len©]==C (т.е. сгенерировать мусор в конце файлов при заданном префиксе), так называемые chosen-prefix collisions.

[drBatty]

Есть алгоритм, который для файлов B и C позволяет получить B' и C' такие, что md5(B')==md5(C'), B'[:len(B)]==B, C'[:len©]==C (т.е. сгенерировать мусор в конце файлов при заданном префиксе), так называемые chosen-prefix collisions.

это уже имеет некоторую практическую ценность.
/me ушёл проверять...

[taaroa]

special for drBatty

http://www.unixwiz.net/techtips/iguide-crypto-hashes.html

//только не надо писать, что "нет у меня трафика картинки смотреть", в моей первой ссылке также все разжевано, с формулами, но вы и её не читали.

p.s. ничего личного

[drBatty]

//только не надо писать, что "нет у меня трафика картинки смотреть", в моей первой ссылке также все разжевано, с формулами

дык мне не нужно "разжёвано с картинками для идиотов", как вы позиционируете свои ссылки. Спасибо почитаю.

но вы и её не читали.

а вы читали? не похоже.

ps ничего личного.

[drBatty]

Уважаемый taaroa, а что вы своей ссылкой сказать-то хотели?
"читай букварь, мальчик, пока взрослые дяди общаются"?
Почитал, спасибо. Теперь взрослых дядь хотелось-бы послушать. Например хотелось бы услышать продолжение ликбеза. Желательно - из ваших уст, а не ссылки. Я хоть и ламо, но ссылки найти сам могу.