MD5 y la crónica de una muerte anunciada
Parece que algo tan simple como una debilidad en un algoritmo de “hashing” como MD5 puede echar por tierra el sistema de distribución de software de muchas empresas , particulares y comunidades de Sw. Libre.
Como se puede leer en el siguiente artículo MD5 Considered Harmful Someday (PDF) el algoritmo MD5 tiene una debilidad que podría hacer que 2 archivos diferentes tuviesen la misma firma digital, siendo por tanto posible que alguien modificase la composición de un paquete RPM, por ejemplo, sustituyendo ejecutables normales por ejecutables maliciosos.
Parece incluso que la propia Microsoft dejará de utilizar MD5, MD4 y DES en su nueva versión de S.O. Vista.
Se llega incluso hasta el punto de que en un foro de desarrolladores C# se realiza una implementación práctica de este exploit en el algoritmo más utilizado para “firmar” software.
fuente: http://www.versioncero.com
Que mas queda por decir….
Cualquier algoritmo hashing, que genera un hash de longitud pequeña - mucho más pequeña que el mensaje- evidentemente es vulnerable a este tipo de ataques. La dificultad consiste en alterar el mensaje de tal forma que el hash sea el mismo, y que la alteración sea significativa. La relevancia de esto es que han probado que es posible añadir una alteración arbitraria al mensaje sin modificar el hash debido a la forma en que se calcula el MD5.
Comment by Irian — October 19, 2005 @ 5:46 pm
Es correcto el comentario:
Quiero aportar con lo siguiente, yo deje de usar
md5sum (algoritmo de 128-bit) ahora estoy utilizando sha1sum (algoritmo de 160-bit), por muchas razones y sobre todo por su longitud conviene utilizar el ultim (eje. las iso de fedora ya lo utilizan).
Ahora prefiero utilizar GnuPG para crear y formar las aplicaciones, creo que deberian de hacer todo, se consigue aun una longitud aun mas grande (Ejemplo 2 elevada a 1024, como el algritmo DSA ahora si utilziar el algorirmo el GAMAL puedes tener una longitud aun mayor).
Un saludo ..
Me gusta postear este tipo de Temas
Comment by Daniel Yucra — November 12, 2005 @ 1:15 am
Muy interesante
Comment by juanpe — November 13, 2005 @ 12:18 am
UUUhhhhh, no entendi! de donde puedo sacar mas datos al respecto??
Comment by Lore — February 6, 2008 @ 4:57 pm