« 1 2
Autor Zpráva
Someone
Profil
Po nějaké době jsem se k tomuto tématu opět dostal a když tak zapřemýšlím nad Alphardovo #29, tak přeci můžu získat původní heslo. Nebo aspoň řetězec, který bude mít stejný hash jako původní heslo.
Pokud hash('něco') = 12, tak moje původní heslo by mohlo být 66, 75, 57, 39, 93, 48, 84 atd... Takže mi stačí použít jeden z těchto řetězců a hash bude 12.
panther
Profil
Someone:
tak přeci můžu získat původní heslo
to neziskas nikdy s jistotou.

Nebo aspoň řetězec, který bude mít stejný hash jako původní heslo
ano, to jde i pouivanych md5 ci sha1.

V tom reseni slo o to, ze i kdyz znas algoritmus, nikdy se nedostanes k puvodnimu stringu. A algoritmus byl pro ukazku pouzit prave takovyhle, jednoduchy, aby to bylo videt hned, ze existuje nekolik koliznich retezcu se stejnym hashem.
Someone
Profil
k tomu, abych prošel ověřením při přihlášení mi přeci stačí jeden jedinej hash nebo je tomu jinak?
panther
Profil
Someone:
abych prošel ověřením při přihlášení mi přeci stačí jeden jedinej hash nebo je tomu jinak?
ne, staci najit jakykoliv kolizni hash.

Pri dvoumistnem hashi, jaky vytvoril Alphard je kolizni hash nejit pomerne snadne, moznosti je 90, takze neni problem je vyzkouset. Pravdepodobnost nalezeni kolizniho retezce klesa s tim, jak dlouhy hash je - hashe md5 a sha1, ktere se bezne pouzivaji, maji... 32 a 40 znaku, jestli se nepletu. Tam se kolizni retezec bude hledat hure, kombinaci je o neco vice. Presto, koliznich retezcu ke kazdemu hashi exituje nekonecne mnoho.
Alphard
Profil
Someone:
Kromě toho, co píše panther, je třeba zdůraznit, že mým úmyslem bylo ukázat nemožnost vytvoření jednoznačné inverzní funkce.
Našels hesla, která by prošla, jak? Příklad je tak jednoduchý, že je to zřejmé, ale zkus to strojově, 12 - co? Dejme tomu 12 - rand(1,9), ale pro 1 to nebude fungovat. Ani tady to není strojově jasné a použil jsem jen sčítání. Kdybych do výpočtu zahrnul modula, něčím podmíněné výpočty navíc apod., už to neotočíš.

Zdroják md5 je například na http://dollar.ecom.cmu.edu/sec/cryptosource.htm, já bych to nechtěl prolamovat.
« 1 2

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: