AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheitslücke in MD5-Hash?

Ein Thema von humbuck · begonnen am 26. Nov 2014 · letzter Beitrag vom 27. Nov 2014
Antwort Antwort
Seite 1 von 4  1 23     Letzte »    
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#1

Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 14:55
Hi,

Dieser Artikel betrifft die im Internet bereitgestellten Codes der DelphiMD5.pas und MD5.pas.

Vielleicht kann jemand meine folgende Erfahrung mit den o.a. Codes bestätigen:

Beim Testen der Codes fällt auf, dass bei einem String, zu dem ein Hash-Code erstellt wird, zwar die Veränderung der String-Länge für die Veränderung des Hashes sorgt, jedoch:

NUR die ersten 5 Zeichen des Strings sind signifikant!

Das bedeutet: Wenn ich die Zeichen nach den ersten fünf Zeichen verändere, erhalte ich, solange ich die Gesamtlänge des Strings nicht abändere, immer den selben Hash-Code.

Kann das jemand hier bestätigen?
Und wenn ja: Ist das so gewollt oder bekannt? (Könnte eigentlich ja nicht gewollt sein...)

Freue mich auf eine Antwort
Humbuck
Jörch
  Mit Zitat antworten Zitat
ExceptionOverflow
(Gast)

n/a Beiträge
 
#2

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:02
du willst also sagen oder hast bei dir beobachten können, dass dieser string: 'dasisteinstringmittext' und dieser string: 'dasisnocheinstringmitt' den selben MD5-Hash ergeben? Das kann nicht sein. Einer von uns beiden muss hier etwas falsch verstanden haben

EDIT: und auf welchen Artikel beziehst du dich?
- MD5 Hashes (sollte nicht aber) werden doch auch teilweise noch für Passwortvergleiche herangezogen zur Sicherheit, die wäre ja total verkommen, wenn deine Erfahrung so zutreffen würde

Geändert von ExceptionOverflow (26. Nov 2014 um 15:05 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#3

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:03
Humbuck.
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:10
Wenn es bei Dir so ist, dann hast Du eine veraltete oder defekte Version dieser Datei.
Schau mal mit Google nach einer anderen Fassung. Es gibt sie definitiv, auch wenn ich gerade keinen Download-Link für Dich habe.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
flipdascript

Registriert seit: 20. Mai 2008
25 Beiträge
 
Delphi 2010 Professional
 
#5

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:22
Hashed Du evtl nur die Längenangabe des Strings?
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#6

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:24
Natürlich gibt es mehrere Strings, welche den selben Hash haben. Praktisch Unendlich durch Hashgröße.
Ein hast ist auch nur eine Art von Quersumme und 12+4 ist das Selbe wie 4+12, Aber es ist sher unwahrscheinlich soetwas zu treffen.

PS: siehe Rainbowtables ... man kann für einen MD5-Hash ein Wort finden, welches passt, aber es muß nicht der originale Text sein.


Zitat:
Hashed Du evtl nur die Längenangabe des Strings?
Oder den Pointer des Strings.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu (26. Nov 2014 um 15:30 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#7

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:37
Also erstmal danke für die schnellen Reaktionen...

Getestet habe ich die benannten Dateien mit XE4.

Das Resultat ist auf jeden Fall nicht immer eindeutig...

Beispiel:
dasisteinstringmittext = A5DCD7F958FBEFD92D0DDD784BE3E738

dasisteinstringmimmext = A5DCD7F958FBEFD92D0DDD784BE3E738

oder
Hallo Helga = 6C59769B57CCF847A83F5DD62E2CD0E9

Hallo Heimo = 6C59769B57CCF847A83F5DD62E2CD0E9

Hallo XXXXX = 6C59769B57CCF847A83F5DD62E2CD0E9

Interessant jedoch:

dasisteinstringmittext = A5DCD7F958FBEFD92D0DDD784BE3E738

dasisnocheinstringmitt = 535B5C75C062C8033F9584FE88FF42B2

Hat da jemand vielleicht eine Erklärung...?

Jedenfalls: Humbuck ist es nicht, was ich festgestellt habe.
Bitte einfach mal selbst testen...
Jörch
  Mit Zitat antworten Zitat
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#8

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:39
Ich habe es selbst getestet.

Lad doch mal deine MD5.pas hoch.

Bin (fast) von einem Troll ausgegangen aufgrund deines Namens und dass du dich dafür frisch angemeldet hast und der Tatsache dass ich es nicht reproduzieren kann und so ein schwerwiegender Fehler sicherlich schon länger aufgefallen wäre.
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#9

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:43
Hier die Dateien:
Angehängte Dateien
Dateityp: pas DelphiMd5.pas (12,5 KB, 9x aufgerufen)
Dateityp: pas Md5.pas (9,6 KB, 9x aufgerufen)
Jörch
  Mit Zitat antworten Zitat
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#10

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:45
Verwendet / getestet habe ich beide Dateien. Die MD5.pas habe ich modifizieren müssen, da permanent ein Integer-Überlauf eine Fehlermeldung erzeugte...
Jörch
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 4  1 23     Letzte »    

 

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:21 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz