¿Qué tan difícil es modificar una imagen ISO y aún tener la suma de verificación del antiguo md5?

Sería difícil hasta el punto en el que sugerirlo seriamente y de forma remota es vergüenza de la locura.

Ha habido algunas demostraciones de ataques teóricos contra MD5 en los que el "atacante" podría crear datos de mensajes destinados a generar un hash MD5 predeterminado. Pero esto está a millas y millas de distancia de agregar un archivo no jibberish a un ISO y hacer que dé el mismo hash.

Un escenario de ataque mucho más probable sería el MitM que altera la página que enumera las MD5sums antes de que llegue a ti para que veas el hash del atacante en lugar del real. Por muy improbable que esto pueda ser, aquí están los hashes para su comparación:

  

ubuntu-11.04-desktop-amd64.iso 7de611b50c283c1755b4007a4feb0379

     

ubuntu-11.04-desktop-i386.iso 8b1085bed498b82ef1485ef19074c281

Se llamaría segunda preimagen . Para una función de hash h con una salida de n bits, hay tres tipos de ataques que consideramos; para cada uno, existe un algoritmo genérico con un alto costo, y la función se considera segura si no podemos encontrar ningún método que sea más rápido que el algoritmo genérico. Los ataques son:

• Preimagen: dada x (una n -bit string), encuentre m tal que h (m) = x . El ataque genérico tiene un costo promedio 2ⁿ (expresado en evaluaciones de la función h sobre entradas pequeñas): el ataque genérico funciona al intentar mensajes aleatorios < em> m hasta que golpee x (el ataque "suerte y oración").

• Segunda preimagen: dada m (una cadena dada), encuentra m ' distinta de m y tal que h (m) = h (m ') . Este es el caso que imaginas aquí. El ataque genérico nuevamente tiene un costo 2ⁿ y es similar al ataque de preimagen.

• Colisiones: encuentre m y m ', distintas entre sí, de manera que h (m) = h (m') . El ataque genérico ha costado 2^n/2 (conocido como el ataque de cumpleaños ).

MD5 tiene una salida de 128 bits. Las evaluaciones de 2¹²⁸ son muy altas y deberían brindar seguridad adecuada (es mil millones de billones de veces más de lo que es tecnológicamente factible en este momento, incluso con un presupuesto similar a Google / Facebook ). Por otro lado, 2⁶⁴ , aunque sigue siendo muy costoso (meses de cómputo con miles de computadoras), ya se ha demostrado una vez (ver distributed.net ).

Además, se han encontrado varias debilidades en MD5, lo que permite un algoritmo muy eficiente para generar colisiones (con mi PC puedo generar una colisión de MD5 en 14 segundos en promedio, usando un solo núcleo). Por esa razón, MD5 ya no se considera seguro como no . Pero actualmente no se conoce ningún atajo para las segundas preimágenes. La existencia de debilidades que conducen a colisiones fáciles muestra que la estructura interna de MD5 no es "lo suficientemente confusa", por lo que tenemos motivos para preocuparnos por los ataques de preimagen que podrían encontrar en un futuro próximo. Pero, en este momento (julio de 2011), no se conoce públicamente tal ataque.

Entonces, la respuesta a tu pregunta es que sería muy difícil enviarte un ISO alterado que terminaría con el mismo hash MD5 que el original. Pero los distribuidores de Ubuntu estarían bien inspirados para comenzar a publicar también hashes SHA-256. Por si acaso.