I en nylig artikel om at kontrollere, om du var påvirket af Gawker's hacking-hændelse. Sådan finder du ud af, om din e-mail-adresse blev lækket gennem Gawkers database. Sådan finder du ud af, om din e-mail-adresse blev lækket gennem Gawkers database Læs mere, et af de trin, der var ved at konvertere din e-mail-adresse til en MD5 hash.
Vi havde et par spørgsmål fra læsere, der spurgte præcis, hvad der foregik, og hvorfor denne proces var nødvendig. Det er ikke vores stil at lade jer stille spørgsmål, så her er en fuld nedbrud af MD5, hashing og et lille overblik over computere og kryptografi.
Kryptografisk Hashing
MD5 står for M essage D igest algoritme 5 og blev opfundet af den berømte amerikanske kryptograf professor Ronald Rivest i 1991 for at erstatte den gamle MD4 standard. MD5 er simpelthen navnet på en type kryptografisk hashing-funktion, Ron kom op, langt tilbage i '91.
Ideen bag kryptografisk hash er at tage en vilkårlig data blok og returnere en fast størrelse "hash" værdi. Det kan være data af enhver størrelse, men hashværdien vil altid blive rettet. Prøv det selv her.
Kryptografisk hash har en række anvendelser, og der er et stort antal algoritmer (undtagen MD5) designet til at gøre et lignende arbejde. En af de vigtigste anvendelser til kryptografisk hashing er at verificere indholdet af en besked eller fil efter overførsel.
Hvis du nogensinde har downloadet en særlig stor fil (Linux distributioner, den slags ting) har du sikkert set den hashværdi, der følger med den. Når denne fil er blevet downloadet, kan du bruge hasen til at kontrollere, at den fil, du downloadede, ikke på nogen måde er anderledes end den annoncerede fil.
Den samme metode virker for meddelelser, hvor hash verificerer, at den modtagne besked matcher den sendte besked. På et meget grundlæggende niveau, hvis du og en ven har en stor fil hver og ønsker at bekræfte, at de er nøjagtigt de samme uden den voldsom overførsel, vil hash-koden gøre det for dig.
Hashing-algoritmer spiller også en rolle i data- eller filidentifikation. Et godt eksempel på dette er peer to peer fildeling netværk, såsom eDonkey2000. Systemet brugte en variant af MD4-algoritmen ( nedenfor ), som også kombinerede filens størrelse til en hash for hurtigt at pege på filer på netværket.
Et underskriftseksempel herpå er i stand til hurtigt at finde data i hash-tabeller, en metode, der almindeligvis anvendes af søgemaskiner.
En anden brug for hash er i lagring af adgangskoder. Lagring af adgangskoder som klar tekst er en dårlig ide, af indlysende grunde, så i stedet konverteres de til hash-værdier. Når en bruger indtaster et kodeord, konverteres det til en hashværdi og kontrolleres mod den kendte lagrede hash. Da hashing er en envejsproces, forudsat at algoritmen er lyd, er der teoretisk lille chance for, at den originale adgangskode bliver dechifreret fra hash.
Kryptografisk hashing bruges også ofte i generering af adgangskoder og afledte adgangskoder fra en enkelt sætning.
Message Digest Algorithm 5
MD5-funktionen giver et 32-cifret hexadecimalt tal. Hvis vi skulle slå 'makeuseof.com' ind i en MD5 hashværdi, så ville det ligne: 64399513b7d734ca90181b27a62134dc . Det blev bygget på en metode kaldet Merkle "Damgard" -strukturen ( nedenfor ), som bruges til at opbygge de såkaldte "kollisionssikre" hashfunktioner.
Ingen sikkerhed er altesikker, men i 1996 blev der fundet potentielle fejl i MD5 hashing-algoritmen. På det tidspunkt blev disse ikke set som dødelige, og MD5 blev fortsat brugt. I 2004 blev et langt mere alvorligt problem opdaget, efter at en gruppe forskere har beskrevet, hvordan man laver to separate filer, der deler den samme MD5 hash-værdi. Dette var første gang et kollisionsangreb blev brugt mod MD5 hashing-algoritmen. Et kollisionsangreb forsøger at finde to arbritare output, der producerer den samme hashværdi - dermed en kollision (to filer med samme værdi).
I løbet af de næste par år har forsøg på at finde yderligere sikkerhedsproblemer inden for MD5 fundet sted, og i 2008 lykkedes en anden forskningsgruppe at anvende kollisionsangrebsmetoden til falsk SSL-certifikatgyldighed. Dette kunne gøre brugerne opmærksom på, at de surfer sikkert, når de ikke er. US Department of Homeland Security meddelte, at: " brugere bør undgå at bruge MD5-algoritmen i nogen form for kapacitet. Som tidligere undersøgelser har vist, bør det betragtes som kryptografisk brudt og uegnet til videre brug ".
På trods af regeringens advarsel bruger mange tjenester stadig MD5 og er som sådan teknisk set i fare. Det er dog muligt at "salt" adgangskoder for at forhindre potentielle angribere ved hjælp af ordboksangreb (testning af kendte ord) imod systemet. Hvis en hacker har en liste over tilfældige, ofte anvendte adgangskoder og din brugerkonto database, kan de kontrollere hashene i databasen mod dem, der er på listen. Salt er en tilfældig streng, som er knyttet til eksisterende adgangskode hashes og derefter hashed igen. Saltværdien og resulterende hash gemmes derefter i databasen.
Hvis en hacker ønskede at finde ud af dine brugeres adgangskoder, skulle han først dechiffrere salt hashene, og det gør en ordbogsangreb ret ubrugelig. Salt påvirker ikke selve adgangskoden, så du skal altid vælge en hard-to-guess-adgangskode.
Konklusion
MD5 er en af mange forskellige metoder til at identificere, sikre og verificere data. Kryptografisk hashing er et vigtigt kapitel i sikkerhedens historie og holder tingene skjult. Som med mange ting designet med sikkerhed i tankerne, er nogen væk og brudt det.
Du skal nok ikke bekymre dig for meget om hashing og MD5 checksums i dine daglige surfevaner, men i hvert fald nu ved du, hvad de gør, og hvordan de gør det.
Har du nogensinde brug for at hash noget? Bekræfter du de filer, du downloader? Kender du til nogen gode MD5 web apps? Lad os vide i kommentarerne!
Introbillede: Shutterstock