Problemas de seguridad de MD5 en la verificación de descargas

Navega tus respuestas
3

Se sabe que el algoritmo de hash MD5 es vulnerable a colisiones desde hace varios años, vea su entrada de Wikipedia . Sin embargo, veo que en muchos lugares de la web, se usa MD5 para verificar la integridad de la descarga, por ejemplo, las imágenes de Ubuntu . ExternalData() de CMake: la descripción de la función C incluso dice:

  

Tenga en cuenta que los hashes se utilizan solo para la identificación de datos únicos y la verificación de descarga. Este no es un software de seguridad.

Parece que un atacante podría agregar datos maliciosos a una descarga y luego agregar un poco más para provocar una colisión de hash.

¿Por qué las preocupaciones de seguridad sobre MD5 no afectan su popularidad como verificación de descarga? ¿Por qué SHA1 (o algoritmos igualmente seguros) no se han convertido en el estándar?

    
pregunta Nico Schlömer 05.08.2014 - 16:28
fuente

1 respuesta

1

Prefiero el comentario-respuesta de CIC, pero la forma en que lo he visto siempre es que las colisiones no siempre son útiles.

Quizás dos cadenas de texto pueden tener una colisión y si se ajustan a un campo de entrada de contraseña, eso es un problema.

Pero, ¿cuáles son las probabilidades de que el código malicioso útil funcione, se inyecte en otro programa y genere la misma suma de comprobación? Probablemente absurdamente pequeño.

Necesitaría una computadora maravillosa para tomar el software legítimo + código malintencionado, y averiguar qué tipo de datos basura se deben agregar al archivo para crear la misma suma de comprobación y tamaño de archivo y todo eso.

Esto, por supuesto, supone que el hash es resistente a la preimagen. wonder-computer es algo que no solo hace factible lo inviable, sino que también encuentra una colisión que tiene un software legítimo funcional + código malicioso.

En ese sentido, no es realmente un problema de seguridad.

    
respondido por el Andrew Hoffman 05.08.2014 - 20:51
fuente

Lea otras preguntas en las etiquetas

¿Es normal que un procedimiento de pago solicite la activación de cookies de terceros? La cuenta de Yahoo ha sido pirateada, ha cambiado pw, ¿el correo basura sigue saliendo a otra parte?