Software-update: MD5CRK 1.0.2

MD5CRK is een nieuw distributed-computing project waarmee men probeert aan te tonen dat de MD5 hash als beveiliging niet meer geschikt is. Het project team geeft de volgende beschrijving mee:

This project aims to find collisions in outputs of the MD5 hash algorithm using distributed computing (or a "Chinese Lottery", as mentioned in the previous story). The project will be considered successful if major crypto vendors - and developers in general - move away from the MD5 standard. MD5CRK is a unique distributed attack in that it attacks one of the most actively used crypto-related algorithm and will provide loads of data for crypto research. Other related projects only seek to decrypt a string of characters specifically encrypted to be attacked.[break]Men is druk bezig met de ontwikkeling van deze client. Men heeft versie 1.0.2 sinds kort beschikbaar gesteld met het volgende changelog:[/break]Client v1.0.2 released. No critical flaws.

Fixes include:
  • "X86SSE2ALU4 restart, no path6" flaw.
  • "UserInfo bad formatting" flaw.
  • Benign, non-critical, non-network, please-don't-worry configuration file related buffer overflow when proxy setting expresses with colon charactor.
  • "Old Pentium crash" flaw.
[break]De volgende downloads staan klaar:
* Linux x86
* Linux Pentium4
* Linux PowerPC
* Mac OS X
* Windows x86
* Windows Pentium4
Versienummer 1.0.2
Besturingssystemen Windows 9x, Windows NT, Windows 2000, Linux, Windows XP, Linux x86, macOS
Website MD5CRK
Download http://www.md5crk.com/?sec=download
Licentietype Freeware

Door Japke Rosink

Meukposter

Feedback • 08-03-2004 09:26 10

08-03-2004 • 09:26

10

Bron: MD5CRK

Lees meer

Aanvullende componenten

Reacties (10)

-Moderatie-faq
10
10
9
2
1
1
Wijzig sortering
sjroorda 8 maart 2004 12:23
MD5 is een wiskundige hash van een getal (ja, een string is ook een getal). Omdat er 'slechts' 2^128 (+/- 3.5x10^38) mogelijkheden zijn om de 128 bits van een MD5-hash te vullen, zijn er altijd dubbele hashes mogelijk. De kans is niet groot, maar de kans IS er.

Wat je dus ZOU kunnen proberen is ergens een MD5-hashed wachtwoord vandaan halen, en dan net zolang proberen MD5-hashes te genereren van willekeurige wachtwoorden totdat je toevallig dezelfde hash krijgt. Dan kan je inderdaad met dit password inloggen.

Helaas zal je voor het volgende password exact hetzelfde moeten doen, dus het is niet 'kraken', het is brute force op 1 instantie.

Net als RSA overigens: je kan de key proberen te achterhalen (die is geloof ik wel uniek), maar dan heb je ALLEEN die betreffende key gekraakt; even wijzigen en je bent weer terug bij het begin...
Bosmonster @sjroorda9 maart 2004 10:40
Om het dan maar niet te hebben over het feit dat er dan al wat schort aan de beveiliging van het systeem als je al een MD5 van een wachtwoord in handen hebt gekregen.

MD5 is niet de beveiliging, dat is de rest van het systeem.
packman @Bosmonster9 maart 2004 13:01
100% correct - maar spijtig genoeg zijn er massa's websites die gewoon je paswoord gemd5'd in een cookie opslaan... :(

Hier vind je trouwens een progje om md5 paswoorden te cracken:
http://membres.lycos.fr/mdcrack/

Heel verontrustend in het geval van paswoord-in-cookie is dat een paswoord van 1 tot 8 karakters lang in de range a-z/0-9 op een 1.53Ghz Athlon slechts 6 dagen duurt... Voeg je er de A-Z range bij dan duurt het wel 497 dagen, maar hoeveel gewone mensen gebruiken nummertjes in hun paswoord? Of hoofdletters? Spijtig genoeg een grote minderheid.
Verwijderd 8 maart 2004 10:32
md5 is dan ook geen cryptografie, md5 is checksumming. dat heeft een heel ander doel.

dat je het als 1-way encryptie voor passwoordjes kunt gebruiken is eigenlijk bijzaak. het eigenlijk gemaakt om je files te checksummen, zoals we tegenwoordig veel met .iso's doen.

overigens zit er een flink stukje theoretische wiskunde achter md5, ik denk niet dat je dat zomaar wegschoffelt.
Verwijderd 8 maart 2004 11:01
Zo lek als een mandje dat MD5, we hebben maar 51.450.213 computers nodig en 4 jaar tijd om het te kraken.
Afschaffen die handel :) |:(
Verwijderd @Verwijderd8 maart 2004 14:11
shit, dus moet ik minstens 1 keer in de 4 jaar mijn password veranderen
Verwijderd 8 maart 2004 10:03
Wat voor nut heeft dit?
Willen ze onderzoeken wat voor bogus data je moet toevoegen aan een geweizigd bestand zodat het dezelfde checksum heeft als het origineel?
erkje 8 maart 2004 10:21
Beetje net als Dnetc, misschien willen ze ook wat.
Ze proberen aan te tonen dat het niet meer geschikt is, maar waar is dat aan af te meten? Aan het kraken met miljoenen computers? De gewone burger/hacker heeft daar nix aan.
Dubbeldrank 8 maart 2004 10:54
Het feit dat ze er een heel project voor op moeten zetten geeft al aan dat het nog veilig genoeg is :)
pietje63 8 maart 2004 10:57
Ik vind dit een slecht project. Als ik de tekst goed begrijp
crypto vendors
Dan gaat het hier evengoed om het kraken van deze beveiliging. Ze zoeken dus een algoritme dat md5 ongedaan kan maken. Dit algoritme kan waarschijnlijk alleen dmv dc gevonden worden.

DUS als er de komende 10 jaar niemand een dc opzet om dit te kraken is er niets aan het handje, vinden ze nu een algoritme dat md5 kraakt dan zijn opeens erg veel beveiligingen lek.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq