哪里有16位的MD5加密算法

dankey

如题。

哪里有.c文件。

sunlan

原帖由 "dankey" 发表：
如题。

哪里有.c文件。

网上

stonestar

直接用openssl的

caicheng

MD5加密算法已经被山东大学的王小云教授等人破解了.

zerozero_nine

好奇的问, 什么才算是破解了? 用超级计算机连续计30天求出了结果, 那算不算破解了.

sunlan

[quote]原帖由 "caicheng"]MD5加密算法已经被山东大学的王小云教授等人破解了.[/quote 发表：


你清楚这是什么意义上的破解吗？你了解MD5是干什么用的吗？

MD5运算的是数据的散列值，换句话说就是数据的指纹。王小云的工作成果是找到了具有相同散列值的数据的方法（运算需要的时间暂且不论），但另外一组数据基本上是无实际意义的乱码。

由于MD5值是16位的字符串（也就是128bits），因此限定一个有限的取值范围内；而数据的组合是无限的，毫无疑问，存在无穷多的具有相同散列值的数据的可能性。这种相同的概率无疑比具有相同指纹的人要好找得多！关键性的问题是两个指纹相同的人可能相貌差得十万八千里，至于数据的差异就更大了，往往是不可解析的。对于异常数据，计算机的唯一处理就是认定其为非法。

因此，MD5作为数字签名中关键技术的地位并未真正动摇——至少目前还未找到替代的算法。

win_hate

MD5 的替代算法多了，光 SHA 系列的就有 SHA1, SHA-256, SHA-512

早在 王 找到冲突之前，md5 已被认为有缺陷，SHA1 就是专门设计出来取代 MD5的，

MD5 仍可以用在非密码领域中，比如做个校验什么的。

win_hate

说找到冲突没有危险是不对的，比如以前一些版本的 linux 采用 md5 作为口令验证的核心。如果你用的口令是 foo，别人找到一个口令 bar，两者有相同的校验值，登录程序将不能区分这两个口令。

sunlan

[quote]原帖由 "win_hate"]说找到冲突没有危险是不对的，比如以前一些版本的 linux 采用 md5 作为口令验证的核心。如果你用的口令是 foo，别人找到一个口令 bar，两者有相同的校验值，登录程序将不能区分这两个口令。[/quote 发表：


找到冲突的确是存在危险性，但有一个取值空间的问题。同样是以口令为例，与一个3位串具有相同MD5值的串可能会是多少位？300位？3000000位？或者是30000000000000000位？都有可能。但位数与3接近或是在接近的数量级的可能性几乎为0。
这就象完全有可能有一个指纹和你一样的人存在，而你要把他找出来的可能性则非常渺茫。这种微弱的可能性足以让你对你的手指放心了！

修正一下，前面说的“至少目前还未找到替代的算法”的确有问题。正确的说法应该是：只要散列值的长度是确定的，任何散列算法都不能说是百分百的安全。

win_hate

什么是安全，什么是百分百安全？

按密码学的定义，一个 hash 函数 H 有两种类型：

1) 找到 x,y 使得  H(x) = H(y） 在计算上不可行
2）对给定的 x 找到 y 使 H(x)=H(y) 在计算上不可行

满足 （1）的称为强碰撞自由；满足（２）的称为弱碰撞自由

王的成果使 md5 的安全性降低为满足 (2)，即 md5 现在是弱碰撞自由。

问题在于，很多安全机制中采用了 md5，并且假定它是满足 (1) 的。在进行形式论证时，假定 md5 是强碰撞自由的。现在王的结论使得其前提得不到保证，所以这些安全机制会被认为有潜在的缺陷，这是十分严重的。

现在已经有人通过王的技术，造出了两个合法 x.509 证书：代表同一个人，公钥不同，但都能通过验证。这差点就使得 PKI 体制破产了。幸好，在 PKI 中，HASH 算法是可选的，不用MD5 就 OK 了。

ps>; 之前我对王的工作理解有误，我以为她把 (2) 也干掉了。所以在前面帖子中给出的口令例子并不正确。大家放心地使用 md5 验证口令好了，目前还是十分安全的。