Comments on: Ännu en stor attack på MD5 http://www.strombergson.com/kryptoblog/2008/08/31/annu-en-stor-attack-pa-md5/ Kryptografi och IT-säkerhet på svenska Wed, 10 Mar 2010 03:03:14 +0200 http://wordpress.org/?v=2.9.2 hourly 1 By: Nixon http://www.strombergson.com/kryptoblog/2008/08/31/annu-en-stor-attack-pa-md5/comment-page-1/#comment-35945 Nixon Mon, 01 Sep 2008 12:29:59 +0000 http://strombergson.com/kryptoblog/?p=552#comment-35945 albert: Nu talar du om att generera en preimage, dvs att givet en hash hitta en sträng som har den hashen. Det är ett annat problem än att hitta två strängar som har samma hash. albert: Nu talar du om att generera en preimage, dvs att givet en hash hitta en sträng som har den hashen. Det är ett annat problem än att hitta två strängar som har samma hash.

]]> By: delade | Joachim Strömbergson: Ännu en stor attack på MD5 http://www.strombergson.com/kryptoblog/2008/08/31/annu-en-stor-attack-pa-md5/comment-page-1/#comment-35938 delade | Joachim Strömbergson: Ännu en stor attack på MD5 Sun, 31 Aug 2008 10:28:59 +0000 http://strombergson.com/kryptoblog/?p=552#comment-35938 [...] Orginalpost: Joachim Strömbergson: Ännu en stor attack på MD5 [...] [...] Orginalpost: Joachim Strömbergson: Ännu en stor attack på MD5 [...]

]]> By: albert http://www.strombergson.com/kryptoblog/2008/08/31/annu-en-stor-attack-pa-md5/comment-page-1/#comment-35937 albert Sun, 31 Aug 2008 08:05:18 +0000 http://strombergson.com/kryptoblog/?p=552#comment-35937 <i>I vilka sammanhang kan detta vara ett problem?</i> Mest känt är väl olika webbsidor där lösenorden ofta hashas med md5 och lagras i någon sql-databas. Ett vanligt sätt att knäcka säkerheten på dessa sidor är att läsa ut md5-hasharna via någon typ av sql-injection. Det borde räcka med att hitta ett lösenord som genererar rätt md5-hash. Det behöver inte vara det rätta lösenordet, bara hashen är rätt. Där kan den här typen av kollissioner spela en roll. Eller behöver man det korrekta lösenordet också för att hitta en kollission? I vilka sammanhang kan detta vara ett problem?

Mest känt är väl olika webbsidor där lösenorden ofta hashas med md5 och lagras i någon sql-databas. Ett vanligt sätt att knäcka säkerheten på dessa sidor är att läsa ut md5-hasharna via någon typ av sql-injection. Det borde räcka med att hitta ett lösenord som genererar rätt md5-hash. Det behöver inte vara det rätta lösenordet, bara hashen är rätt. Där kan den här typen av kollissioner spela en roll. Eller behöver man det korrekta lösenordet också för att hitta en kollission?

]]>