Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/11/2014
MD5 ha mort! Generen imatges distintes amb el mateix hash
L'atac criptogràfic de col·lisions de hash, utilitzat per ciberespies per subvertir Windows Update de Microsoft s'ha generalitzat, i això revela que l'algoritme MD5 està irremeiablement mort.
L’investigador de seguretat Nat McHugh va crear dos imatges de distintes icones del rock-and-roll, James Brown i Barry White, amb el mateix hash MD5. "Les imatges es van agafar d’Internet ... de fet vaig poder haver triat qualsevol imatge o qualssevol dades arbitràries i creat una col·lisió amb estes", informa McHugh.
El procés de càlcul de dades de farciment per a produir la col·lisió entre dos imatges dissímils es va dur a terme en una instància de còmput en el núvol en qüestió d’hores, a un cost estimat per McHugh de menys d’un dòlar.
Els intents de força bruta per a trobar col·lisions d’hash criptogràfics (es produïx quan s'aplica a dos arxius distints una funció hash i que estos presenten la mateixa eixida) són encara poc pràctics per a qualsevol que no compte amb accés a una supercomputadora.
Allò que McHugh va aconseguir fer va ser agregar dades binàries al final de dos imatges JPEG distintes, de tal forma que els dos arxius modificats van donar el mateix valor hash. Col·lisions MD5 d’este tipus, és a dir, generades a partir de dos valors d’entrada fixos, van ser demostrades amb èxit per primera vegada en 2007.
En una col·lisió amb valors d’entrada fixos, les dades que precedixen els blocs de col·lisió especialment dissenyats poden ser completament diferents, com és el cas de les imatges del padrí del soul i la morsa de l’amor.
En una entrada de blog, McHugh explica com va ser capaç d’esbrinar quines dades binàries afegir al final dels dos arxius d’imatge.
L’atac de col·lisió per a valors fixos funciona per mitjà de l’addició repetida de blocs "prop de la col·lisió" que treballen gradualment per eliminar les diferències en l’estat intern de l'MD5, fins que són el mateix. Abans que açò puga dur-se a terme, els arxius han de ser de la mateixa longitud i les xicotetes diferències han de ser d’una forma particular. Açò requerix un atac de força bruta conegut com a atac d’aniversari, que prova valors aleatoris fins que se'n troben dos que funcionen. Açò, sens dubte, té una complexitat molt menor que un atac de força bruta complet.
Un altre investigador, Marc Stevens, va crear un entorn de treball per a automatitzar el descobriment de rutes diferencials i utilitzar-les per a crear col·lisions de valors fixos. McHugh va optar per executar la ferramenta d’investigació de Stevens HashClash en Linux, utilitzant un script en bash per a automatitzar els passos repetitius necessaris en una instància AWS GPU. "Em vaig adonar que era capaç d’executar l’algoritme en aproximadament 10 hores en una instància AWS GPU" a un cost aproximat de 0,65 dòlars més impostos, segons McHugh.
McHugh conclou que el seu exercici demostra que MD5 és irremeiablement dèbil, obsolet i no apte per a usos pràctics.
Marc Stevens també ha publicat una ferramenta per a la detecció d’arxius que han sigut processats d’esta manera. Executar esta ferramenta sobre qualsevol dels arxius pot detectar que s’hi han afegit blocs de col·lisió.