zpět na osobní stránky

 

Stránka věnovaná kolizím hašovacích funkcí ( v přípravě....)

Vlastimil Klíma

 

poslední aktualizace stránky 11.5. 2017

 

Vlastimil Klima: Tunnels in Hash Functions: MD5 Collisions Within a Minute (extended abstract), IACR ePrint archive Report 2006/105, 18. 3. 2006, lokální pdf: English ,Czech , zdrojový kód verze 0 (neoptimalizovaný), zdrojový kód verze 1 - nejrychlejší program a metoda hledání kolizí MD5 na světě

 

Giuseppe Vitto z University of Trento (Italy) přepsal celý kód. Nyní je komentovaný, nezávislý na OS, na 32/64 bitové sběrnici, (testovaný na MacOS , Ubuntu, Windows 7), maskovací bity pro tunely a tunely mohou být lépe používány a je zde mnoho dalších vychytávek. Na začátku je seed generující kolizi pod sekundu. Github repository je na https://github.com/s1fr0/md5-tunneling


Dej mi tři soubory a já ti vrátím jiné tři se stejnou MD5 haší... Program pack3 napsal Ondrej Mikle. Je založen na kolizním programu MD5 collision program Vlastimila Klímy. Použití: pack3 file1 file2 file3 file4 file5 file6 vytvoří dva samorozbalovací archivy package1.exe a package2.exe. Oba budou mít sejnou MD5 haš, přičemž package1.exe extrahuje soubory 1-3 a package2.exe soubory 4-6. Více informací

 

Daniel Joščák: Hledání kolizí v hašovacích funkcích, diplomová práce, MFFUK, Praha, 21.4.2006. Abstrakt: Hlavním obsahem této práce je hledání kolizí v hašovací funkci MD5. Představíme náš nový algoritmus založený na metodě kolizí podle Wangové a kol. V průběhu psaní této práce Stevens a Klíma publikovali dva nové algoritmy. Uvádíme popis všech tří algoritmů a jejich výpočetní složitost.

 

Marc Stevens, "Fast Collision Attack on MD5", 17 March 2006, IACR ePrint archive Report 2006/104, pdf and source code .

 

První porovnání algoritmů Klímy a Stevense je zde.

 

Pavel Dufek: Modifikace programu Klímy verze 1, modifikovaný program umožňuje zvolit inicializační hodnotu (jako parametr programu), a vytváří nové textové a binární výstupy. Zdrojový a spustitelný kód jsou zde.

 

J. Black, M. Cochran, T. Highland: "A Study of the MD5 Attacks: Insights and Improvements", March 3, 2006, pdf, toolkit.

 

Jun Yajima and Takeshi Shimoyama: Wang’s sufficient conditions of MD5 are not sufficient, Cryptology ePrint Archive: Report 2005/263, 10 Aug 2005, http://eprint.iacr.org/2005/263.pdf .

Yu Sasaki and Yusuke Naito and Noboru Kunihiro and Kazuo Ohta: Improved Collision Attack on MD5, Cryptology ePrint Archive: Report 2005/400, 7 Nov 2005, http://eprint.iacr.org/2005/400.pdf .

Liang J. and Lai X.: Improved Collision Attack on Hash Function MD5, Cryptology ePrint Archive: Report 425/2005, 23 Nov 2005, http://eprint.iacr.org/2005/425.pdf .

 

8.5.2005

Prezentace mnohonásobných modifikací zprávy

Vlastimil Klima:  Finding MD5 Collisions on a Notebook PC Using Multi-message Modifications, 3rd Int. Conference Security and Protection of Information 2005, Brno, Czech Republic, May 3 - 5, 2005, prezentace(ppt).

 

 

31.3.2005

Nalézání kolizí MD5 na notebooku pomocí mnohonásobných modifikací zprávy

Ve stejnojmenném článku jsem uveřejnil metodu nalézání kolizí z 5.3.2005 a návrh dalších metod. Vlastimil Klíma: Nalézání kolizí MD5 na notebooku pomocí mnohonásobných modifikací zprávy, 31.3. 2005, verze 1

Abstrakt: V tomto stručném příspěvku shrnujeme výsledky našeho tříměsíčního výzkumu kolizí hašovací funkce MD5. Inspirováni prací Wangové a kol. [1] jsme vyvinuli metody nalézání kolizí, které pracují pro libovolný inicializační vektor a jsou rychlejší než metody v [1, 8]. To umožňuje nalézt kolizi MD5 na standardním notebooku asi za 8 hodin [7]. Nezávisle na [1, 8] jsme objevili a navrhli několik metod mnohonásobné modifikace zpráv, které jsou efektivnější než v [1, 8], a ukazujeme jejich podstatu.

Anglická verze: Vlastimil Klima:  Finding MD5 Collisions on a Notebook PC Using Multi-message Modifications, March 31, 2005, IACR ePrint archive, Report 2005/102.

 

19.3.2005

Hašovací funkce, principy, příklady a kolize

Vlastimil Klíma: Hašovací funkce, principy, příklady a kolize, přednáška na semináři Cryptofest, 19.3. 2005, on line zde.

Abstrakt: Tento velmi rozsáhlý příspěvek je určen těm, kdo nemají podrobné znalosti o hašovacích funkcích, ale přitom se jich nějakým způsobem týká jejich bezpečnost. Budeme se zabývat principy konstrukce, bezpečností a novinkami v oblasti hašovacích funkcí.

 

9. 3. 2005

Nalézání kolizí MD5 - původní čínská metoda zveřejněna

Konečně po šesti měsících mlčení byl uveřejněn příspěvek prof. Wangové a kol. o čínském triku.

Xiaoyun Wang and Hongbo Yu: How to Break MD5 and Other Hash Functions (PDF).

Podstatou jsou dvě hlavní myšlenky. První je diferenční schéma. Druhou je tzv. metoda modifikace zpráv. Tato metoda má mnoho variant a v diferenčním schématu se použije mnohokrát. Zveřejněny byly pouze příklady. U diferenčního schématu (kolidující zprávy se liší v šesti 32bitových slovech o definovaný aritmetický rozdíl) sice známe jeho popis, ale není jasné, jak právě toto schéma bylo vybráno. Diferenčních schémat tohoto typu může být celá řada. Jinými slovy, ani tato práce ještě neodhaluje všechno z čínského zákulisí. Faktem je, že do konferenčního příspěvku se nemůže vejít všechno, a že toto je výsledkem výzkumu prof. Wangové od roku 1996. Doufejme, že v dalších pracech odhalí více. Mnohé slibuje oznámený útok na SHA-1, který vychází ze stejné metody, a kde dosáhli složitosti 2^69 místo 2^80.

 

8. 3. 2005

Populární článek pro www.root.cz

Nalézání kolizí MD5 - hračka pro notebook zde.

 

5.3. 2005

V článku Nalézání kolizí MD5 - hračka pro notebook jsem oznámil schopnost generovat kolize pro MD5 na notebooku za cca 8 hodin:

Vlastimil Klima: Finding MD5 Collisions – a Toy For a Notebook, 5th March, 2005, IACR ePrint archive, Report 2005/075, homepage, pdf: English, Czech.

 

8. 12. 2004

Praktická demonstrace využití čínského útoku:

K demonstraci využití čínského útoku jsem vyzval na přednášce 15.11. 2004 uvedené níže. V diskusi byly předloženy asi čtyři nebo pět nápadů. Ondra svůj nápad během několika následujících dní převedl do fungující praktické ukázky do příspěvku konferenčního typu. Blahopřeji! Ondrej Mikle, student MFF UK, ukázal, že lze využít i jednu publikovanou kolizi MD5 ke konstrukci reálných útoků (2. 12. 2004). Výsledek? Velmi stručně ten nejzajímavější. Zvolte si jakékoliv dva různé soubory (třeba smlouvy). Pomocí postupu z článku docílíte toho, že jeden uživatel dostane první z nich, druhý uživatel druhý z nich, a přitom si oba dva na základě vzájemné telefonické kontroly digitálních otisků (MD5) budou myslet, že mají tentýž soubor. Něco tady není v pořádku, že? Podrobnosti jsou na domovské stránce projektu. Nezávisle na něm o 4 dny později publikoval jiný koncept využití jediné kolize MD5 i Dan Kaminsky (6.12. 2004).

 

22. 11. 2004

Seminář BIS

Vlastimil Klíma: Hašovací funkce, MD5 a čínský útok, Seminář Bezpečnost Informačních Systémů v praxi (http://bis.modry.cz/), MFF UK Praha, 22. 11. 2004, prezentace v powerpointu (prezentace v pdf), text bez bez Kelsey-Schneierova doplňku, viz pdf. Oproti konferenci DCD je zde minimum informací navíc, jen prezentace s obrázky.

 

12. 11. 2004

O čínském útoku a hašovacích funkcích podrobněji na DCD:

Protože o kolize hašovacích funkcí byl na www.root.cz velký zájem (10500 čtenářů), napsal jsem při příležitosti přednášení tohoto tématu na konferenci DCD text:

Nedůvěřujte kryptologům, IT &Security Conference, DCD Publishing, Hotel Diplomat, Praha, 10. - 11. 11. 2004, 25 stran (480 kByte pdf), který tu kauzu trochu víc vysvětluje a obnáší trochu víc informací. Dokument přetiskuje i Crypto-world jako speciál.

 

25. 8. 2004

Článek na www.root.cz, který tuhle stránku zapříčinil

Vlastimil Klíma: Hašovací funkce MD5 a další prolomeny!, zde

 

Literatura a linky

 

Další linky:

stránka Paula Barreta , jedna z mála aktualizovaných a hodnotných stránek o hašovacích funkcích

o hašovacích funcích a kolizích na wikipedii

ilustrovaný úvod do hašovacích funkcí

 

[ARCHIV] Archiv autora obsahující články o kryptologii a bezpečnosti, http://cryptography.hyperlink.cz/

 

[BC04a] Biham, Eli, Chen, Rafi: Near Collisions of SHA-0, CRYPTO 2004

http://www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/2004/CS/CS-2004-09.ps.gz

 

[BC04b] Eli Biham, Rafi Chen: New results on SHA-0 and SHA-1, CRYPTO 2004 Rump Session

 

[BoBo93] B. den Boer and A. Bosselaers. Collisions for the compression function of MD5. In Advances in Cryptology, Eurocrypt ‘93, pages 293-304, Springer-Verlag, 1994.

 

[D96a] H. Dobbertin, Cryptanalysis of MD4, Fast Software Encryption 1996, LNCS, Vol. 1039, Springer-Verlag, 1996, pp. 53 - 69

 

[DK2004] Dan Kaminsky:  MD5 To Be Considered Harmful Someday, Cryptology ePrint Archive, Report 2004/357, http://eprint.iacr.org/2004/357, 6 December 2004

 

[DO96eu] H. Dobbertin. Cryptanalysis of MD5 Compress. Presented at the rump session of Eurocrypt ‘96, May 14, 1996.

 

[DO96cb] H. Dobbertin. The Status of MD5 after a Recent Attack. CryptoBytes, 2(2): 1-6, 1996.

 

[HAVAL] Y. Zheng, J. Pieprzyk, J. Seberry, HAVAL - A One-way Hashing Algorithm with Variable Length of Output, Auscrypt 92

 

[HMAC] FIPS PUB 198, The Keyed-Hash Message Authentication Code (HMAC), NIST, US Department of Commerce, Washington D. C., March 6, 2002, http://csrc.nist.gov/CryptoToolkit/tkhash.html, resp. RFC 2104, http://www.rfc-editor.org/

 

[HPR04] Philip Hawkes, Michael Paddon, Gregory G. Rose: Musings on the Wang et al. MD5 Collision, Cryptology ePrint Archive, Report 2004/264, 13 October 2004, http://eprint.iacr.org/2004/264.pdf

 

[Joux04a] Antoine Joux: Collisions in SHA-0, CRYPTO 2004 Rump Session

 

[Joux04b] A. Joux: Multicollisions in iterated hash functions. Application to cascaded

constructions. Proceedings of Crypto 2004, LNCS 3152, pages 306-316.

 

[KS2004] John Kelsey, Bruce Schneier: Second Preimages on n-bit Hash Functions for Much Less than 2^n Work, http://eprint.iacr.org/2004/304/, November 15, 2004

 

[LWW05a] Arjen Lenstra, Xiaoyun Wang and Benne de Weger: Colliding X.509 Certificates, Cryptology ePrint Archive, Report 2005/067, http://eprint.iacr.org/2005/067

 

[LWW05b] Arjen Lenstra, Xiaoyun Wang and Benne de Weger: Colliding X.509 Certificates based on SHA1-collisions, http://www.win.tue.nl/~bdeweger/CollidingCertificates/index.html

 

[MD245] MD2, MD4, MD5 - RFC 1319, 1320, 1321, http://www.rfc-editor.org/

 

[NIST05b] NIST Brief Comments on Recent Cryptanalytic Attacks on SHA-1

http://csrc.nist.gov/news-highlights/NIST-Brief-Comments-on-SHA1-attack.pdf

 

[NIST05a] NIST Brief Comments on Recent Cryptanalytic Attacks on Secure Hashing Functions and the Continued Security Provided by SHA-1, http://csrc.ncsl.nist.gov/hash_standards_comments.pdf,

 

[OOW94] P. van Oorschot and M. Wiener. Parallel collision search with application to hash functions and discrete logarithms. In Proceedings of 2nd ACM Conference on Computer

and Communication Security, pages 210-218, ACM Press, 1994.

 

[OM2004] Ondrej Mikle: Practical Attacks on Digital Signatures Using MD5 Message Digest, Cryptology ePrint Archive, Report 2004/356, http://eprint.iacr.org/2004/356, 2nd December 2004, http://cryptography.hyperlink.cz/2004/collisions.htm

 

[PKCS2] PKCS#5 v2.0: Password-Based Cryptography Standard, RSA Labs, March 25, 1999

 

[RIPEMD-160] H. Dobbertin, A. Bosselaers, B. Preneel, "RIPEMD-160: A Strengthened Version of RIPEMD," Fast Software Encryption, LNCS 1039, D.Gollmann, Ed., Springer-Verlag, 1996, pp. 71-82

 

[SHA-0] FIPS 180 (superseded by FIPS 180-1 and FIPS 180-2), Secure hash standard (SHS), NIST, US Department of Commerce, Washington D. C., May 1993

 

[SHA-1] FIPS 180-1 (superseded by FIPS 180-2), Secure hash standard (SHS), NIST, US Department of Commerce, Washington D. C., April 1995

 

[SHA-2] FIPS 180-2, Secure Hash Standard (SHS), NIST, US Department of Commerce, Washington D. C., August 2002 (change notice: February 2004), http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf, platný standard, obsahuje definice SHA-1, SHA-224, SHA-256, SHA-384 a SHA-512

 

[VK2005a] Vlastimil Klima: Finding MD5 Collisions – a Toy For a Notebook, Cryptology ePrint Archive, Report 2005/075, March 5, 2005, http://eprint.iacr.org/2005/075, v češtině " Nalézání kolizí MD5 - hračka pro notebook", http://cryptography.hyperlink.cz/md5/MD5_kolize.pdf.

 

[VK2005b] Vlastimil Klima: Finding MD5 Collisions on a Notebook PC Using Multi-message Modifications, March 31, 2005, Cryptology ePrint Archive, Report 2005/112, http://eprint.iacr.org/2005/102, v češtině " Nalézání kolizí MD5 na notebooku pomocí mnohonásobných modifikací zprávy",  http://cryptography.hyperlink.cz/md5/Vlastimil_Klima_MD5_kolize.pdf .

 

[VK2005c] Vlastimil Klíma: Hašovací funkce, principy, příklady a kolize, přednáška na semináři Cryptofest, http://www.cryptofest.cz/, Praha, 19.3. 2005, on line na  http://cryptography.hyperlink.cz/2005/cryptofest_2005.htm.

 

[WFLY04] X. Wang, D. Feng, X. Lai, H. Yu, "Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD", rump session, CRYPTO 2004, Cryptology ePrint Archive, Report 2004/199, http://eprint.iacr.org/2004/199

 

[WY2005] Xiaoyun Wang and Hongbo Yu: How to Break MD5 and Other Hash Functions, http://www.infosec.sdu.edu.cn/paper/md5-attack.pdf.

 

[WYY05] Wang  X., Yin L., Yu H.: Collision Search Attacks on SHA1, February 13, 2005, http://theory.lcs.mit.edu/~yiqun/shanote.pdf

 

 

Další elektronicky dostupné dokumenty a populární články v češtině :

 

Přednášky na MFF UK (zejména první a třetí):
V. Klíma: Základy moderní kryptologie - Symetrická kryptografie III. (operační mody blokových šifer a hašovací funkce), MFF UK, prosloveno v rámci přednášek oboru "Matematické metody informační bezpečnosti", http://adela.karlin.mff.cuni.cz/~tuma/nciphers.html.

 

V. Klíma: Základy moderní kryptologie - Symetrická kryptografie II. (symetrická kryptografie, proudové a blokové šifry, DES, EAS), MFF UK, prosloveno v rámci přednášek oboru "Matematické metody informační bezpečnosti", http://adela.karlin.mff.cuni.cz/~tuma/nciphers.html.

 

V. Klíma: Základy moderní kryptologie - Symetrická kryptografie I. (nové myšlenky kryptografie, bezpečnostní cíle, kryptoanalýza, typy kryptografických systémů, kryptologie), MFF UK, prosloveno v rámci přednášek oboru "Matematické metody informační bezpečnosti", http://adela.karlin.mff.cuni.cz/~tuma/nciphers.html.

 

Hašovací kód HMAC:
V. Klíma, T. Rosa: Kryptologie pro praxi (8) – funkce HMAC, Sdělovací technika, 2/2004, str. 17, http://cryptography.hyperlink.cz/2004/st_2004_02_17_17.pdf.

 

Úvod k hašovacím funkcím a popis perspektivní SHA-1 (to bylo....):
V.Klíma: Počítačová bezpečnost (Hašovací funkce a kódy): Výživná haše, Chip, březen 1999, str. 40 - 43, http://cryptography.hyperlink.cz/1999/chip-1999-03-40-43.pdf.

 

Hašovací funkce MD, RIPEMD a HMAC, kompresní funkce a kolize hašovacích funkcí:
V.Klíma: Počítačová bezpečnost (Hašovací funkce a kódy): Jak se melou data, Chip, duben 1999, str. 44 - 46, http://cryptography.hyperlink.cz/1999/chip-1999-04-44-46.pdf.

 

Nové hašovací funkce SHA-256, SHA-384 a SHA-512:
V.Klíma: Jednoznačné otisky dat, Chip, srpen 2001, str. 138 - 139, http://cryptography.hyperlink.cz/2001/chip-2001-08-138-139.pdf.

 

Ilustrovaný úvod do hašovacích funkcí, velmi pěkné - http://www.unixwiz.net/techtips/iguide-crypto-hashes.html

 

Linky od kolegy Rosy:

O hledání kolizí MD5 hrubou silou (aneb proč se mj. už MD5 neměla řadu let používat):

T. Rosa: Podpis k narozeninám, Chip, srpen 2001, str. 131 – 133.

 

Projekt MD5CRK:

Domovská stránka: http://www.md5crk.com/

Cílem bylo najít kolizi MD5 hrubou silou a přesvědčit tak architekty, aby od ní konečně ustoupili. Po uveřejnění příspěvku Wangové byl projekt zastaven.

 

Související obecné články o podpisových schématech:

T. Rosa: Podpis pro pokročilé (2), Chip, prosinec 2000, str. 172 – 176.

T. Rosa: Podpis pro pokročilé (1), Chip, listopad 2000, str. 174-178.

T. Rosa: Vybrané problémy podpisových schémat, Chip, leden 2001, str. 134 – 137.