资源描述:
《新如何破解MD5等散列函数》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、如何破解MD5等散列函数摘要:MD5算法是一种最广泛使用的加密散列函数。如今。它的设计是在1992为MD4算法的改进,并其安全性被广泛的研究,此后的儿位作者。最好的已知的结果到目前为止是半自由开始的碰撞,在最初的哈希函数的值是通过一个非标准的价值所取代,这是攻击的后果。在本文中,我们提出了一个新的强大的攻击MD5让我们找到有效的碰撞。我们用这种攻击在15分钟到一小时计算找到MD5的碰撞时间。攻击是一个差分攻击,它不像大多数的差分攻击,不使用专用或作为衡量的差异,但相反,采用模块化的整数减法的措施。我们称这样类型的
2、差分是模板化差分。这种攻击的一个应用MD4可以找到在不到一秒钟的分离的小块的碰撞。这种攻击也适用于其他的哈希函数,如RIPEMD和HAVALo1、介绍人们知道数字签名在信息安全中是非常重要的。数字签名的安全性取决于加密强度基本的哈希函数。哈希函数也有许多其他的应用在密码等数据的完整性,群签名,电子现金和其他密码协议。散列函数的这些应用不仅使用确保安全,而且大大提高效率。如今,有两种广泛使用的散列函数MD5[18]和SHA-1[12].oMD5哈希函数市RonRivest设计为一个加强版的MD4算法[17]。自从出
3、版以来,已经发现了一些弱点。1993,B.denBoer和A.bosselaers[3]发现一种MD5伪碰撞由相同的信息的两套初始值的组成。这种攻击公开了弱的雪崩在戢重要的位的所有链接变量MD5o在尾市的96届欧洲,H.Dobbe「tin[8]提岀的一个半自市起始碰撞市两个不同的512位的消息所选择的初始值八。・a0=0xl2ac2375.bQ=0x3b341042.cQ=0x5f62b97c.d()=0x4ba763ed这种攻击的一般描述发表在[9]o虽然H.Dobbertin不能提供真正的MD5碰撞,他的攻击
4、揭示了完整的MD5弱雪崩。这个发现提供了一种可能性一个迭代的一个特殊的差分。在本文中,我们提出一个新的强大的攻击,可以有效地找到一个碰撞MD5。从h.Dobbertin的攻击,是否我们的动机研究可以找到一条消息,每个包含两个街块,生产第二个块后碰撞。更具体地说,我们想找一对(MO、M1)和(a,b、c,d)=MD5(ao,co,do,Mo)>(ac,d!)=NID5(ao,&o,Q),do,M$),aO,bO,cO,dOMD5的初始值。我们展示了这种碰撞MD5可以有效地找到,发现第--块(」忖0」昭)大约239
5、MD5操作,找到第二块的,则)大约需要2胆MD5操作。这种攻击的应用程序在IBMP690大约需要一个小时找到A%and在最快的情况下,只碍要15分钟。然后,它只需要5分钟15秒之间找到第二块aIldjV1,0两个这样的碰撞的MD5加密的6yptd04公诸于世残余会话[19]。这种攻击适用于很多其他的哈希功能,包括MD4,HAVAL-128>RIPEMD([17],[20],[15])o在MD4的情况下,攻击可以发现在不到一秒钟的碰撞,还可以找到第二前图像的许多信息。在密码2004EliBiham和Rafi提出了近
6、碰撞攻击SHA-0[2],它遵循的技术[4线]。在会议上他们的臀部描述他们的新的(更好的)对SHA-0和SHA-1结杲(包括多块技术和碰撞,减少SHA-1)o然后,A.-茹了一个4块全碰撞SHA-0[14],这是这些进一步的改进结果。这些作品都是独立的文章本文的组织如下:在2节中我们简要地描述了MD5。然后我们在3节给我们进攻的主要思想,和我们在4节给出的详细描述的攻击。最后,我们在5节总结纸,并讨论了这种攻击的其他散列函数的适用性。2、MD5的详细描述为了方便地描述MD5的总体结构,我们首先冋顾对于Hash函数
7、的迭代过程。一般的哈希函数是迭代压缩函数x=f(z)将L位的消息块Z压缩到S位的散列值X,当L>S,对于MD5,L=512,S=128O迭代方法通常称为Merkle—Damgard方法元(见[6],[16])。对一个填充消息M用L位长度的倍数,迭代过程如下:凤十1=08、算法有四个回合,每轮16操作。四个连续的步骤操作如下:a=6+@+咖(吐同+Wj+ti)«Si),d=a+((d+6.c)+g十i+◎十i)s:十Jc=d+((c+Qi十2(d・a,b)+wi+2+ti±2)«毀十2),6=c+((&+厲十3(Sd,a)+叫3+玄十3)«£讦3),在手术+手段加模232oti+j和si+j(j=0,1,2,3)步骤相关的常数。wi+j是一
