主题:【文摘】山东大学王小云教授成功破解MD5 -- 懒厨
家园 Yup Anything you read about "digest", "hash" can be substituded with MD5/SHA-1, they are the major specs.
家园 mitbbs science 上的一些讨论 even this is not true. wang cannot do this: given A, find a B so that
H(B) = H(A).
she can do: find A and B such that H(A) = H(B).
this collision business is more related to data integrity than encryption
cracking .
: Wang can do this: Hi, my password is A, my hashing result is C, can you login
: using another password other than A? Yes, Wang gets B, which results in the
: same hashing result
: But if Wang only knows the hashing result is C, she can not produce either A
: or B .
HASH只是用来做MAC check的,就好像一封证明信的结尾盖章,“以上内容属实”
王教授攻破简单MD5 HASH的确是一件大事,但离攻破SSL还有很长路要走。第一阶段key
exchange也不是MD5来做。第一阶段key exchange可以是RSA encryption,
或者diffie-hellman exchange. MD5
都没有起决定性作用。你必须攻破RSA或者Diffie-Hellman才能攻破第一阶段key
exchange,当然,第二阶段就掌中之物了。
还有,现在如IPsec之类都用HMAC-MD5,又比simple MD5难很多
【 在 szf (穗 之 风) 的大作中提到: 】
: 具体不知道,也不可能知道.就象发现Windows漏洞的人只会大致描述.
: 我对这个问题也只是一知半解.在HTTPS里面有两个阶段,不对称加密用于密匙交换,对称
加
: 密用于信息交换,e.g. web page.MD5是第一阶段可选方法之一.
: 如楼下所说,hash本身就不是用来加密明文的.但是王小云教授的成果让人似乎看到了攻
破
: 第一阶段的可能,如果第一阶段攻破,第二阶段形同虚设,因为钥匙到手了.
: 王小云教授的论文有两点很有意义:
: 1)方法不是基于生日攻击,可以从任意初始值出发.
: 2)h(m1)=h(m2)在IBM 690要搞几个小时,但是从此出发h(m1,n1)=h(m2,n2)只要几秒.
: 所以王小云教授的方法不是象以前一般的做法:通过大规模分布,分而治之.而是有规律
可
: 循.
: 以王小云教授的背景,可能是发现了数论里面的一些东西.具体的东西她不说,说了我这
个
: 门外汉也不懂.我只是在想,难道我们站在了解决N-P完全问题的门口上?如果是这样,计
算
: 机科学可能会有一个本质的突破.
家园 楼上的说话也太乐观了。 MD5与SHA-1不但是SSL等protocol的重要key exchange部分,更重要的是digital signature的standard。
试想有多少文件已经用了这些方法加密?整个Internet的integrity和security - certificate、PKI都有可能被动摇,这是很恐怖的事情。
多谢懒厨转此文,版主有眼光。
家园 牛... 这下够大家忙一阵的. 不过也没什么可做的.
能够取代MD5它们的还没, 大家就裸奔吧.算
法还是要保密啊. 王下一步研究加密技术吧,
加密可以公开挣钱, 破密只能偷偷挣钱.
家园 梦里依稀是这方面的专家,能否麻烦评论一下? 家园 别,专家这顶大帽子可是顶不起的 看了一下她的文章(呵呵,给我们女性长脸啊),没有细节,只有结果
这个我觉得说的有道理;
What the paper says is that they have attacked the "strong collision free"
property of hash function.
It is really a breakthrough, because "strong collision free" is one of the two
important properties of hash functions.
However, the "weak collision free" property hasn't been attacked yet.
This means they can't forge the digital signature of a given message,
they could only find two messages which produce the same hash values.
And these two messages would be mostly meaningless.
It is not a nightmare for the industries,
as it is not a direct threat to digital signatures,
at least by now.
But who knows
家园 有一个问题,在一般条件下这种相撞的概率有多大? 看了他们的paper,没有提及这个问题。如果是2的几十次方,想来那比被水噎死的概率还要小,呵呵。
嗯,不能从签名反推回原码,想要破解还是很难。只给出两个相同的数,确实meaningless。
不过从另一方面来看,这么多人都没有找到这样相同的两个数,确实值得我们得意一下,呵呵
家园 恩,概率是非常非常小的 所以他们能找到这个碰撞,是很有价值的,
不过这和“从签名反推回原码”还完全是两码事,
现在他们做到的是:
1. 找到了 两个A, B, 使得 h(A)=h(B),
是不是能够做到:
2. 对于任意一个A和 h(A), 都能够找到 B使得 h(B)=h(A)
还是未知,
至于如果知道 K=h(A), 要从K 推出A的值, 那完全是两码事.
家园 agree what you said 家园 能不能什么时候给我们“科普”一下,讲讲当前加密/解密行业的大致状况 主导技术和主要的一些问题。提纲挈领,简明扼要就行!