Puncte:-1

Poate cineva să explice „secretul” și „datele” din algoritmul de hashing MD5?

drapel uz

Am studiat algoritmul de hashing MD5 și există ceva ce pur și simplu nu înțeleg încă. Ei spun că serverul deține un fel sau „secret” și că adaugă un fel de „mesaj” (sau „date”) la acel secret. Apoi, algoritmul adaugă padding-ul corespunzător la concatenat ("secret" + "date") și procesul continuă de acolo.Acum, se spune că doar serverul știe „secretul”, dar un atacator ar cunoaște „datele”, precum și semnătura (care este aparent rezultatul care iese din hashing („secret + date”)). Acum, iată ce nu înțeleg:

Să presupunem că avem o adresă URL:

http://website.com/ABCDEFGHIJKLMNOP?parameter=something

Acum, partea ABCDEFGHIJKLMNOP este partea hashing a acestei adrese URL. Ar fi corect să numim acea parte semnătură? Dacă da, care sunt exact „datele” pe care se presupune că le cunoaște un atacator? Unde în această adresă URL se află „datele” care au fost adăugate la „secret”?

De asemenea, de ce „date” sunt atașate la „secret” în primul rând? De ce „secretul” nu este doar hashing de la sine și ținut ascuns de un atacator, în loc să-i ofere atacatorului niște „date” aparent cunoscute?

fgrieu avatar
drapel ng
Un lucru este sigur: MD5 în sine nu presupune că ceva este secret și nici nu specifică o entitate „server”. MD5 este o funcție complet publică care transformă un mesaj (orice șir de biți până la o dimensiune extrem de mare) într-un șir de biți de 128 de biți. Că mesajul este secret sau nu, nu are nimic de-a face cu MD5 în sine. Un lucru sigur este că, dacă hash-ul trebuie să fie secret, cel puțin o parte din mesaj trebuie să fie. Întrebarea este despre MD5 într-un context care nu este în prezent clar. Mențiunea „semnăturii” sugerează ceva mai complex decât HMAC sau hashingul parolei. Nu putem spune!!
drapel ph
Un link către o resursă care face această afirmație ar fi util. După cum spune fgrieu, afirmația nu este adevărată despre MD5 în sine, dar ar putea fi corectă într-un context mai larg. În ceea ce privește o adresă URL, semnificația părților depinde de creator - nu poți spune în general dacă există hash-uri implicate. Și, în orice caz, „partea hashed a url-ului” nu înseamnă mare lucru.
Rikudou avatar
drapel uz
@bmm6o Aici este un link care menționează ce vreau să spun despre „secret” și „date” și toate astea: https://blog.skullsecurity.org/2012/everything-you-need-to-know-about- hash-length-extension-atacuri
drapel jp
@Rikudou Acest articol este despre atacarea unui [cod de autentificare a mesajelor] (https://en.wikipedia.org/wiki/Message_authentication_code) (MAC) prost proiectat *bazat pe* MD5 (sau un alt hash extensibil). Părțile „secrete” și „date” provin din el fiind folosit ca MAC, nu de la MD5 în sine.
fgrieu avatar
drapel ng
În _semnătura_ adecvată, există o cheie privată folosită pentru a produce semnătura și o cheie publică pentru a verifica semnătura. Nimic așa ceva în [cazul de față](https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks).
Puncte:1
drapel in

După cum sa indicat, este vorba despre crearea unui $\operatorname{MAC}_k(m) = \operatorname{H}(k \| m)$ Unde $k$ este cheia / secretul și $m$ este mesajul/datele.

Acum, partea ABCDEFGHIJKLMNOP este partea hashing a acestei adrese URL. Ar fi corect să numim acea parte semnătură? Dacă da, care sunt exact „datele” pe care se presupune că le cunoaște un atacator?

Nu, „ABCDEFGHIJKLMNOP” sunt datele mesajului. Atacatorul îl știe deoarece este afișat clar în adresa URL.

De asemenea, de ce „date” sunt atașate la „secret” în primul rând? De ce „secretul” nu este doar hashing de la sine și ținut ascuns de un atacator, în loc să-i ofere atacatorului niște „date” aparent cunoscute?

Pentru că MAC este obișnuit autentifica un mesaj. Dacă doar hashați secretul, atunci ați putea arăta că aveți cheia, dar datele ar fi lăsate neprotejate.

În ambele cazuri, ar trebui să fiți atenți reluarea atacurilor. Totuși, acesta este un alt subiect presupun.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.