[MD5] Is het veilig?

Op vrijdag 05 april 2002 11:07 schreef Da Mastah het volgende:
Een gastje op school beweert dat ie zo MD5 heeft gekraakt...

Op vrijdag 05 april 2002 11:10 schreef Da Mastah het volgende:
Zo te horen is adt bullshit dus....

juh

Zucht

MD5 is geen encoding maar een hashing algoritme.

Het is gebaseerd op een reeks berekeningen waar je steeds data verliest - deze data kan je op geen enkele manier meer terug krijgen.

Bijvoorbeeld zoals dit:

1296513 => 1+2+9+6+5+1+3 = 27 => 2+7 = 9

Zie jij nu maar es van de 9 terug te komen op 1296513 zonder ENIGE extra informatie.

Als je dat kan .. bied ik je een baan aan (dan mag je dus nog wel 10 andere dingen voor me 'oplossen')

Op vrijdag 05 april 2002 11:10 schreef Grum het volgende:
Zucht

MD5 is geen encoding maar een hashing algoritme.

Het is gebaseerd op een reeks berekeningen waar je steeds data verliest - deze data kan je op geen enkele manier meer terug krijgen.

Bijvoorbeeld zoals dit:

1296513 => 1+2+9+6+5+1+3 = 27 => 2+7 = 9

Zie jij nu maar es van de 9 terug te komen op 1296513 zonder ENIGE extra informatie.

Als je dat kan .. bied ik je een baan aan (dan mag je dus nog wel 10 andere dingen voor me 'oplossen')

nee maar je kan wel een 54 nemen => 9 is dezelfde hash.
Is dus best kraakbaar, alleen niet zo snel
(en je hebt dus een ander 'wachtwoord' oid waarmee je binnen kan komen, niet zijn werkelijke)

haha, als dat gastje dat echt kan moet hij dat eens tonen... Ofwel is hij wiskundig genie, en wordt hij wereldbekend hiermee, ofwel heeft hij thuis een mega server-farm staan om brute-force te kraken... Ik gok dat het enige wat hij heeft echter een grote mond is.

Iets meer informatie over md5 vind je op deze links: http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html
http://www.rsasecurity.com/rsalabs/faq/3-6-6.html
http://www.faqs.org/rfcs/rfc1321.html (rfc1321: The MD5 Message-Digest Algorithm: de specificatie van md5 algoritme dus)

hier vind je alles wat je wil weten over hoe md5 nu juist in elkaar zit... en of het nu te kraken is? brute-force kun je natuurlijk proberen, maar dat duurt nogal lang en theoretisch kunnen verscheidene paswoorden dezelfde md5 hash opleveren, maar uit een study gemaakt in 1994 blijkt dat een machine die speciaal in elkaar gestoken wordt om md5's te kraken zo'n 10 miljoen dollar gekost hebben toen, en een MD5 collision vinden per 24 dagen gemiddeld. Computers zijn ondertussen iets rapper en goedkoper geworden, maar ik zou er nog niet te veel op rekenen dat je nu vlug md5's kraakt

Van RSA homepage:

Van Oorschot and Wiener [VW94] have considered a brute-force search for collisions (see Question 2.1.6) in hash functions, and they estimate a collision search machine designed specifically for MD5 (costing $10 million in 1994) could find a collision for MD5 in 24 days on average. The general techniques can be applied to other hash functions.

Dus als dat gastje een paar miljoen overheeft, dan kraakt ie MD5 binnen een maand.



[edit2]Maarja, als je MD5 hashes ongeëncrypt over het net gaat sturen, dan verdien je het eigenlijk ook gewoon om gehackt te worden....[/edit2]

Mocht de veiligheid in gevaar komen komt er wel weer een MD7 ofzoiets.

Kijk, het probleem is dat veel mensen gewoon een bestaand woord nemen als password. Als je een lijstje hebt met een paar tientallen duizenden Nederlandse woorden, en een paar tientallen MD5's van passwoorden, en je gaat even die woorden hashen, zit er waarschijnlijk wel ééntje bij

Je kan ook broet fors cracken, mijn p166 servertje doet 320000 hashes per seconde. Dan zijn paswoorden met 1-6 letters/cijfers goed te doen. Maar als het er 7 zijn, dan stop ik maar

Maar met een paar goede computers zouden 7 tekens ook nog wel binnen een dag moeten kunnen denk ik.

Eik is MD5 natuurlijk helemaal niet gemaakt hiervoor. Het is gemaakt als een SNEL algoritme, en dat is niet zo fijn om passwords op te slaan

Maar als je een password neemt van zo'n 10 tekens, kan je je wel veilig voelen hoor Test hem dan alleen wel even op collisions van minder dan 10 tekens, want anders ben je wel genaaid

Nielsz: nee maar je kan wel een 54 nemen => 9 is dezelfde hash.
Is dus best kraakbaar, alleen niet zo snel
(en je hebt dus een ander 'wachtwoord' oid waarmee je binnen kan komen, niet zijn werkelijke)


Heb je het dan gekraakt ?? nee ... je hebt namelijk nog steeds niet het origineel waar je naar op zoek was.

Het feit dat er meerdere mogelijkheiden zijn wijst er alleen maar des te meer op dat het een one-way process is.

Mijn password is 16 karakters.
Vrijwilligers ?

ddc: pfft


Ik vraag me af of er MD5 hashes zijn die geen bijbehorende un-hashed data hebben, het lijkt me eigelijk best wel mogelijk

Op vrijdag 05 april 2002 11:35 schreef Grum het volgende:
ddc: pfft


Ik vraag me af of er MD5 hashes zijn die geen bijbehorende un-hashed data hebben, het lijkt me eigelijk best wel mogelijk

Dat is natuurlijk zeker als het origineel korter is dan 16 bytes, want dan zijn er minder originelen dan beelden.

Om deze reden is het ook niet zinnig om voor extra veiligheid een passwoord te nemen van meer dan 16 bytes, omdat je dan meer originelen hebt dan beelden en je statistisch gezien toch niet meer pogingen hoeft te doen dan het aantal beelden.

Op vrijdag 05 april 2002 11:27 schreef Grum het volgende:
Nielsz: nee maar je kan wel een 54 nemen => 9 is dezelfde hash.
Is dus best kraakbaar, alleen niet zo snel
(en je hebt dus een ander 'wachtwoord' oid waarmee je binnen kan komen, niet zijn werkelijke)


Heb je het dan gekraakt ?? nee ... je hebt namelijk nog steeds niet het origineel waar je naar op zoek was.

Het feit dat er meerdere mogelijkheiden zijn wijst er alleen maar des te meer op dat het een one-way process is.

Nee, maar de vraag is of je zijn wachtwoord wil achterhalen of een string kan vinden met dezelfde hash. Ik denk dat je net zo blij wordt van punt 2

Edit je net even naar niet dan klopt je zin ... maar erm .. ik zie die vraag nergens ...

"Is MD5 te kraken?"

Ik heb een wedervraag:
"Wanneer heb je MD5 gekraakt"

D'r valt imo weinig aan te kraken. De vraag is hoe md5 toegepast wordt. Als het niet anders wordt toegepast dan hashing, dan valt er weinig aan te kraken.

Oftewel, een md5 hash van iets is alleen maar een "message digest" _{(oh... vandaar md5? ja dus )}, zeg maar "een verkorte representatie van een stuk tekst waarbij je een controle-string nodig hebt". En de controle string is dus de md5-hash van die tekst. Verandert er namelijk 1 karakter in die tekst, dan verandert zo ongeveer de complete hash.

Op vrijdag 05 april 2002 11:46 schreef Grum het volgende:
Edit je net even naar niet dan klopt je zin ... maar erm .. ik zie die vraag nergens ...

wijs-neus
Ik denk dat het mij aan mijn virtuele reet zal roesten of ik in kan loggen met je echte wachtwoord of met een ander wachtwoord wat ook goed is

Op vrijdag 05 april 2002 11:48 schreef drm het volgende:

[..]

Ik heb een wedervraag:
"Wanneer heb je MD5 gekraakt"

D'r valt imo weinig aan te kraken. De vraag is hoe md5 toegepast wordt. Als het niet anders wordt toegepast dan hashing, dan valt er weinig aan te kraken.

Oftewel, een md5 hash van iets is alleen maar een "message digest" _{(oh... vandaar md5? ja dus )}, zeg maar "een verkorte representatie van een stuk tekst waarbij je een controle-string nodig hebt". En de controle string is dus de md5-hash van die tekst. Verandert er namelijk 1 karakter in die tekst, dan verandert zo ongeveer de complete hash.

Precies. In een goede inlog procedure is het kraken van MD5 helemaal niet aan de orde. De enige reden om een wachtwoord te MD5-en is dat je dan geen lijst van passwords hoeft bij te houden aan de kant van de server. Dat is fijn, want als iemand dan de lijst met hashes jat van je server betekent dat niet automatisch dat ie met die lijst ook op andere servers kan inloggen.
Voor het inloggen zelf is het geëncrypt versturen van een passwoord net zo veilig als het geëncrypt versturen van een hash van dat passwoord en het ongeëncrypt versturen van een hash is net zo onveilig als het ongeëncrypt versturen van het origineel.
Kortom, een hacker wil MD5 helemaal niet kraken, want hij krijgt als het goed is toch pas een hashstring te zien als hij de encryptie methode waarmee die versleuteld is heeft gekraakt.

RickN:
[..]

exact. Dus, topicstarter, wat is nou precies je vraag?

Op vrijdag 05 april 2002 11:59 schreef drm het volgende:

exact. Dus, topicstarter, wat is nou precies je vraag?

Idd, MD5 is een methode om een CRC controle uit te voeren, waarom je dit zou kunnen en willen hacken is onduidelijk...

Edit : vage tekst...

het is ook niet geheel terecht om te zeggen "voor $10M kun je MD5 kraken binnen 24 dagen"

maar: "voor $10M kan je *een* MD5 key theoretisch kraken binnen 24 dagen"

het is dus NIET zo dat je dan 'de gouden sleutel' hebt ineens; je zal het elke maal opnieuw moeten bepalen.

Kan iemand even dit onduidelijkheidje voor me verduidelijken?

Wordt een passwoord doorgaans server- of clientside gehashed.

normaal gesproken server-side

hou nou es op over het kraken .. kraken doe je met encryptie .. en hashing is niet per definitie encryptie .. md5 hashing ZEKER niet.

Op vrijdag 05 april 2002 12:06 schreef Birk het volgende:
Idd, MD5 is een methode om een CRC controle uit te voeren.

Dat is niet helemaal waar, MD5 en CRC zijn beide een soort van hash functies, maar het is niet zo dat MD5 'een' CRC is (of omgekeerd). Daarbij is MD5 een cryptografische hashfunctie, wat wil zeggen, dat het niet mogelijk moet zijn om bij een zekere MD5 waarde de gegevens te genereren die die MD5 waarde hebben. Het doel van CRC is alleen maar het vergelijken van gegevens. Het is dus niet belachelijk moeilijk om gegevens te genereren die een specifieke CRC waarde hebben.

Op vrijdag 05 april 2002 16:48 schreef Soultaker het volgende:

Dat is niet helemaal waar, MD5 en CRC zijn beide een soort van hash functies, maar het is niet zo dat MD5 'een' CRC is (of omgekeerd). Daarbij is MD5 een cryptografische hashfunctie, wat wil zeggen, dat het niet mogelijk moet zijn om bij een zekere MD5 waarde de gegevens te genereren die die MD5 waarde hebben. Het doel van CRC is alleen maar het vergelijken van gegevens. Het is dus niet belachelijk moeilijk om gegevens te genereren die een specifieke CRC waarde hebben.

Komt dus wel ongeveer op hetzelfde neer ik geef toe er zijn verschillen maar ik neem aan dat die in deze discussie niet zo van belang zijn

Op vrijdag 05 april 2002 16:57 schreef Birk het volgende:
Komt dus wel ongeveer op hetzelfde neer ik geef toe er zijn verschillen maar ik neem aan dat die in deze discussie niet zo van belang zijn

Juist wel! Het gaat er om, hoe veilig MD5 is. Als je de integriteit van binnenkomende gegevens wilt controleren, kan dit wel met MD5 en met een CRC juist niet!

Op vrijdag 05 april 2002 17:02 schreef Soultaker het volgende:

Juist wel! Het gaat er om, hoe veilig MD5 is. Als je de integriteit van binnenkomende gegevens wilt controleren, kan dit wel met MD5 en met een CRC juist niet!

Ja kijk als je het zo bedoeld, maar het gaat er hierom dacht ik of het te hacken is... Maar MD5 is geen encryptie...

Op vrijdag 05 april 2002 17:10 schreef Birk het volgende:
Ja kijk als je het zo bedoeld, maar het gaat er hierom dacht ik of het te hacken is...

Waar het om ging weet niemand.

Maar MD5 is geen encryptie...

MD5 is een cryptografische hash-functie. Of dat wel of geen encryptie is hangt van je definitie af.

Op vrijdag 05 april 2002 11:35 schreef Grum het volgende:
het lijkt me eigelijk best wel mogelijk

Dat lijkt me onmogelijk.
Er zijn slechts 2^128 verschillende md5-hashes... Maar er zijn oneindig veel verschillende mogelijkheden van textuele combinaties.

Oftewel er zijn minder uitvoer hashes dan invoer mogelijkheden en daardoor zal (in dit geval?) er voor alle hashes een "invoer" bestaan.

Dat die invoer niet perse 16 karakters is is natuurlijk wat vervelend zoeken

Als het niet waar is, is er geloof ik een fiks probleem met de huidige wiskunde

_{Mijn argumentatie is wel wat zwak trouwens, maar ik ben dan ook geen wiskundige}

Op vrijdag 05 april 2002 11:30 schreef ddc het volgende:
Mijn password is 16 karakters.

Watnou als blijkt dat ie toevallig overeenkomt met een string van 1 karakter?
Je account is dan wel gekraakt.

Anyway, dat is ook het enige wat je in deze context met md5-kraken zou kunnen bedoelen. Dat er "een" geldige string wordt gevonden waardoor een account gebruikt/misbruikt kan worden en in principe het account gekraakt is.

Op vrijdag 05 april 2002 17:11 schreef Soultaker het volgende:

Waar het om ging weet niemand.

MD5 is een cryptografische hash-functie. Of dat wel of geen encryptie is hangt van je definitie af.

Lol, nou lekker dan, dan weet ik het ook nie meer

Nou vragen we de topic starter wat zijn definitie ervan is

Op vrijdag 05 april 2002 17:11 schreef Soultaker het volgende:
[..]

MD5 is een cryptografische hash-functie. Of dat wel of geen encryptie is hangt van je definitie af.

Aangezien MD5 met een paar miljoen binnen een maandje te cracken valt kun je er nauwelijks serieuze cryptografische waarde aan toekennen. De reden dat MD5 wel geschikt is voor authentificatie en b.v. CRC niet is dat er bij MD5 vrijwel geen correlatie is tussen de "afstand" tussen twee berichten en de "afstand" tussen de bijbehorende beelden. Met andere woorden, een kleine wijziging in het origineel leidt in het algemeen tot een grote onvoorspelbare verandering in de hash. Dit betekend dat je bij MD5 niet door een paar goedgekozen veranderingen een bericht aan kunt passen zonder de MD5 hash ervan te veranderen. Dit is bij b.v. CRC veel makkelijker.

Op vrijdag 05 april 2002 11:30 schreef ddc het volgende:
Mijn password is 16 karakters.
Vrijwilligers ?

kom maar op. Welk OS gebruik je?

Mijn Admin password in w2k pro is 24 tekens met leestekens,cijfers en letters. Tevens heb ik de LM HASH uitgeschakeld en gebruik ik dus alleen de NTLM HASH(deze is dacht ik MD4)

Is het zinvol om SHA1 nu voor een forum te gebruiken

Op vrijdag 05 april 2002 11:54 schreef RickN het volgende:

[..]
Voor het inloggen zelf is het geëncrypt versturen van een passwoord net zo veilig als het geëncrypt versturen van een hash van dat passwoord en het ongeëncrypt versturen van een hash is net zo onveilig als het ongeëncrypt versturen van het origineel.
Kortom, een hacker wil MD5 helemaal niet kraken, want hij krijgt als het goed is toch pas een hashstring te zien als hij de encryptie methode waarmee die versleuteld is heeft gekraakt.

FYI, de MSN inlog procedure maakt dus wel gebruik van MD5 als enige vorm van 'encryptie'. Er zijn dus wel degelijk grote systemen waarbij je mogelijk MD5 zou willen hacken (hoewel ik dit een zeer kinderachtige bezigheid vindt, maar dat terzijde).

[gewaagde uitspraak]MSN staat toch niet echt bekend als onveilig[/gewaagde uitspraak], maar dit komt dan waarschijnlijk omdat de inlog procedure over het internet gaat en dus naar verhouding traag is, brute force zou hierdoor gewoonweg te lang duren. Al met al dus toch een redelijk veilig systeem, waarbij je MD5 dus kennelijk toch, onder bepaalde omstandigheden, kunt gebruiken als beveiliging.

Tegen de tijd dat hij het heeft gekraakt (via het inet) heeft je isp/hoster hem al lang geblockt wegens flooding (hoop ik voor je )

Als je MD5 voor passwords gebruikt, moet het toch mogelijk zijn om, mits je die key hash hebt natuurlijk, terug te rekenen naar iets wat dezelfde MD5 hash oplevert? Dat hoeft dus niet het zelfde te zijn als het origineel, want het systeem vergelijkt de MD5 hashes. En hey, die zijn hetzelfde.

Klopt dat of maak ik een grove fout

Op vrijdag 05 april 2002 19:43 schreef CyBeR het volgende:
Als je MD5 voor passwords gebruikt, moet het toch mogelijk zijn om, mits je die key hash hebt natuurlijk, terug te rekenen naar iets wat dezelfde MD5 hash oplevert?

Het idee van een cryptografische hash functie is juist dat dat niet kan. Hoe dat specifiek werkt weet ik helaas niet.

Een oplossing die altijd werkt is om zomaar wat te gaan proberen totdat je een juiste MD5 hash tegen komt, maar die dingen zijn 128 bits groot, dus de kans dat je goed gokt is zo ongeveer 1 op 340 miljard miljard miljard miljard.

Op vrijdag 05 april 2002 19:10 schreef Duncan het volgende:
Is het zinvol om SHA1 nu voor een forum te gebruiken

Neem dan gewoon "md5-crypt"

Hey en wat als je nou een hash NOG een keer hasht?
Dat maakt toch eigenlijk helemaal nix uit?

Mag ik het raar vinden dat je dit uitermate zinloze topic met een retorische vraag weer omhoog schopt ?

Het kan wel, gewoon alle combinaties uitproberen.
Mijn PC is 3 dagen bezig geweest met een woord van 4 letters
Ik maakte gewoon alle mogelijke combinaties, encrypte die, en vergeleek het met die uit de database. Ik vindt het wel veilig
[edit] ff gekeken, maar het waren 4 letters

heb je de letters zelf ingetikt ofzo ? want een normale pc doet dat binnen 15 minuten

sterker nog ... in 7 seconde (alle mogelijkheden van 4 letters uit a-z)

doen we het uit a-zA-Z dan kostet 52 sec

maar 3 HELE DAGEN ? .. dan kan ik ze zelf ook wel intikken

Op vrijdag 05 april 2002 19:27 schreef hondass50 het volgende:

[..]

FYI, de MSN inlog procedure maakt dus wel gebruik van MD5 als enige vorm van 'encryptie'. Er zijn dus wel degelijk grote systemen waarbij je mogelijk MD5 zou willen hacken (hoewel ik dit een zeer kinderachtige bezigheid vindt, maar dat terzijde).

De MSN-server kan zo ingesteld staan dat hij maar 10 foute inlogpogingen per 24 uur toestaat per account. Dan kan je lang wachten voordat je het goeie password (lees MD5-hash) te pakken hebt.

Op zaterdag 06 april 2002 09:54 schreef bigtree het volgende:

De MSN-server kan zo ingesteld staan dat hij maar 10 foute inlogpogingen per 24 uur toestaat per account. Dan kan je lang wachten voordat je het goeie password (lees MD5-hash) te pakken hebt.

Is het dan niet erg makkelijk om iemands account voor de komende 24 uur te blokkeren? Zal wel op IP-adres gaan...

Nog even over dat MSN en hashen enzo.

• Je password staat unencrypted op de server.
• Je krijgt een random string toegestuurd.
• Je combineert die reeks met je password. ( strcat() in C )
• Die string hash je en stuur je terug.
• De server heeft hetzelfde gedaan en probeert jouw string met zijn string te matchen.

M.a.w. de kans dat je per toeval een password vindt dat bij toeval een goeie hash genereert is nog steeds even groot, alleen kan je dat foute password maar 1 keer succesvol gebruiken.
Of, als je andersom denkt, er bestaat een kans dat als je telkens hetzelfde foute password gebruikt je op een gegeven moment toch goed zit.

Op zaterdag 06 april 2002 09:33 schreef cREATiVe8500 het volgende:
Het kan wel, gewoon alle combinaties uitproberen.
Mijn PC is 3 dagen bezig geweest met een woord van 4 letters
Ik maakte gewoon alle mogelijke combinaties, encrypte die, en vergeleek het met die uit de database. Ik vindt het wel veilig
[edit] ff gekeken, maar het waren 4 letters

Hebben we het hier over een 8086 ofzo ?

Om even terug te komen op "je kan het orgineel niet weten, omdat er meedere Strings zijn die op de zelfde MD5 uit komen"

Een tijdje geleden was er op tweakers een bericht, dat justitie ergens ter wereld, mensen aan wilde pakken, die illegale MP3tjes op hun computer hadden. ze wouden de CRC32 gebruiken om aan te tonen dat het een copie was van een bestand dat duidelijk illegaal was (het kopietje heeft immers dezelfde crc32). ofzoiets, het was een vrij kansloos idee en ik ben de details vergeten.

Het probleem was toen dat er niet zoveel verschillende uitkomsten zijn met die methode en dat je bij de rechter kon volhouden dat het toeval is dat de bestanden dezelfde crc32-hashcode hebben. Een alternatief bleek MD5 te zijn omdat daar (milliarden?, iig er veel) verschillende combinaties zijn, zodat toeval praktisch uit te sluiten is.

Als je md5's gaat decoderen, dan heb de dus inderdaad de theoretische mogenlijkheid dat je wat dubbele tegen komt. De meeste inlog systemen laten het wel toe dat je drie, vier, vijf keer je wachtwoord verkeerd in mag typen voordat er alarmbellen gaan rinkelen of je account dicht gegooit wordt. Stel dat je password kraak meerdere uitkomsten tegen komt, dan kan je die ook allemaal even proberen, het zullen er niet veel zijn.

Ten tweede zijn er ook veel systemen die de passwords encrypted opslaan. Als je inlogt wordt je invoer geencrypt. en vergeleken met wat er in de database staat. het maakt daar niet uit wat je als invoer hebt, zolang het maar encrypt naar de juiste hashcode. dat doen alle dubbele uitkomsten van de decodeer actie.

En wat wil je nu exact met deze kick duidelijk maken?

over ouwe koeien gesproken.. een topic van 1,5 jaar oud..

modbreak: als je niets nuttigs te melden hebt, zeg dan niets

[ Voor 43% gewijzigd door curry684 op 27-10-2003 15:09 ]

opagrover heeft weinig zin om de kick toe te lichten iig: dicht dan maar