реклама
В скорошна статия за проверка дали сте били засегнати от хакерския инцидент на Гаукер Как да разберете дали вашият имейл адрес е изтечен чрез базата данни на Gawker Прочетете още , една от стъпките, включваща преобразуването на имейл адреса ви в хеш на MD5.
Имахме няколко въпроса от читателите, които питаха какво точно се случва и защо този процес е необходим. Не е в нашия стил да ви оставяме да задавате въпроси, така че ето пълна версия на MD5, хеширане и малък преглед на компютрите и криптографията.
Криптографско хеширане
MD5 означава Мessage далгоритъм 5 и е изобретен от известния американски криптограф професор Роналд Ривест през 1991 г., за да замени стария стандарт MD4. MD5 е просто наименованието за тип криптографска хешираща функция, която Рон измисли, още през '91.
Идеята зад криптографското хеширане е да се вземе произволен блок данни и да се върне фиксиран размер „хеш“. Това могат да бъдат всякакви данни, от всякакъв размер, но хеш стойността винаги ще бъде фиксирана. Опитайте сами тук.
Криптографското хеширане има редица приложения и има огромен брой алгоритми (различни от MD5), предназначени да свършат подобна работа. Едно от основните приложения за криптографското хеширане е за проверка на съдържанието на съобщение или файл след прехвърляне.
Ако някога сте изтеглили особено голям файл (Linux дистрибуции, такива неща) вероятно ще забележите хеш стойността, която го придружава. След като този файл бъде изтеглен, можете да използвате хеша, за да проверите дали изтегленият файл по никакъв начин не се различава от рекламирания файл.
Същият метод работи за съобщения, като хешът проверява дали полученото съобщение съответства на изпратеното съобщение. На съвсем основно ниво, ако вие и приятел имате голям файл всеки и искате да потвърдите, че са абсолютно еднакви без прекомерния трансфер, хеш кодът ще го направи вместо вас.
Алгоритмите на хеширане също играят роля в идентификацията на данни или файлове. Добър пример за това е партньорска мрежа за споделяне на файлове, например eDonkey2000. Системата използва вариант на алгоритъма MD4 (По-долу), който също комбинира размера на файла в хеш, за бързо насочване към файлове в мрежата.
Примерен пример за това е способността бързо да се намират данни в хеш-таблиците, метод, често използван от търсачките.
Друга употреба за хешовете е в съхранението на пароли. Съхраняването на паролите като ясен текст е лоша идея, поради очевидни причини, така че вместо това те се преобразуват в хеш стойности. Когато потребителят въведе парола, тя се преобразува в хеш стойност и се проверява спрямо известния съхранен хеш. Тъй като хеширането е еднопосочен процес, при условие че алгоритъмът е звучен, тогава теоретично има малък шанс първоначалната парола да бъде дешифрирана от хеша.
Криптографското хеширане често се използва и при генериране на пароли и производни пароли от една фраза.
Алгоритъм за пренос на съобщения 5
Функцията MD5 осигурява 32-цифрено шестнадесетично число. Ако превърнем „makeuseof.com“ в хеш-стойност на MD5, тя ще изглежда така: 64399513b7d734ca90181b27a62134dc. Той е изграден по метод, наречен Merkle ”“ Damg ¥ rd структура (По-долу), която се използва за изграждане на хеш функции „устойчиви на сблъскване“.
Но сигурността не е всичко доказана, но през 1996 г. бяха открити потенциални недостатъци в алгоритъма на хеширане MD5. По онова време те не са били разглеждани като фатални и MD5 продължава да се използва. През 2004 г. бе открит далеч по-сериозен проблем, след като група изследователи описаха как да накарат два отделни файла да споделят една и съща стойност на хеш MD5. Това беше първият случай на атака при сблъсък, използвана срещу алгоритъма на хеширане MD5. Сблъсък атака се опитва да намери два арбритарни изхода, които произвеждат една и съща хеш стойност - следователно, сблъсък (два файла, съществуващи с една и съща стойност).
През следващите няколко години се правят опити за намиране на допълнителни проблеми със сигурността в MD5, а през 2008 г. друга изследователска група успява да използва метода за атака на сблъсък, за да фалшифицира SSL сертификат валидност. Това би могло да заблуди потребителите да мислят, че сърфират безопасно, когато не са. Министерството на вътрешната сигурност на САЩ оповестен че: "потребителите трябва да избягват използването на алгоритъма MD5 в каквото и да е качество. Както показаха предишни изследвания, то трябва да се счита за криптографски счупено и неподходящо за по-нататъшно използване“.
Въпреки предупреждението на правителството, много услуги все още използват MD5 и като такива са технически изложени на риск. Възможно е обаче да се „солят“ паролите, за да се предотвратят потенциални нападатели, използващи речни атаки (тестване на известни думи) срещу системата. Ако хакер има списък на случайни често използвани пароли и базата данни на вашия потребителски акаунт, той може да провери хешовете в базата данни спрямо тези в списъка. Солта е случаен низ, който е свързан със съществуващите хеши на паролата и след това отново е хеширан. След това солната стойност и полученият хеш се съхраняват в базата данни.
Ако хакер искаше да открие паролите на вашите потребители, той първо трябва да дешифрира солените хешове и това прави атака с речник доста безполезна. Солта не влияе върху самата парола, така че винаги трябва да изберете трудно предположима парола.
заключение
MD5 е един от многото различни методи за идентифициране, обезопасяване и проверка на данните. Криптографското хеширане е жизненоважна глава в историята на сигурността и запазването на нещата скрити. Както при много неща, проектирани с оглед на сигурността, някой не го е нарушил.
Вероятно няма да ви се налага да се притеснявате твърде много от хеширането и MD5 контролните суми в ежедневните си навици за сърфиране, но поне сега знаете какво правят и как го правят.
Някога да ви е трябвало да хеширате нещо? Проверявате ли изтеглените файлове? Знаете ли за някои добри MD5 уеб приложения? Уведомете ни в коментарите!
Въведение изображение: Shutterstock
Тим е писател на свободна практика, който живее в Мелбърн, Австралия. Можете да го последвате в Twitter.
