1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › 25C3: Gefälschtes CA-Zertifikat

praktisch nutzen ...

  1. Thema

Neues Thema Ansicht wechseln


  1. praktisch nutzen ...

    Autor: wurst 30.12.08 - 18:29

    lass sich MD5-Kollisionen schon längst. Es lassen sich schon seit über zwei Jahren damit in wenigen Stunden (!) auf einem normalen Rechner z.B. zwei völlig verschiedene Executables mit gleicher MD5-Summe erzeugen... das ist doch praktisch, nicht?

    Also dass damit erst jetzt klar wäre, dass die Kollisionen nicht nur akademische Spielereien sind, stimmt so nicht. Und wenn sie dafür einen Playstation-Cluster brauchen, pff. ;-)

    http://www.mathstat.dal.ca/~selinger/md5collision/

  2. Re: praktisch nutzen ...

    Autor: rpm deb 30.12.08 - 18:45

    > lass sich MD5-Kollisionen schon längst. Es lassen sich schon seit über zwei Jahren damit in wenigen Stunden (!) auf einem normalen Rechner z.B. zwei völlig verschiedene Executables mit gleicher MD5-Summe erzeugen... das ist doch praktisch, nicht?
    Ist die Paket-Aktualisierung von Linux-System damit unsicher?

  3. Re: praktisch nutzen ...

    Autor: Nachfrager 30.12.08 - 18:48

    Meinst Du Linux 11.0 ?

  4. Re: praktisch nutzen ...

    Autor: wurst 30.12.08 - 19:04

    Das könnte noch etwas schwieriger sein, da diese RPM- oder Deb-Archive ja komprimiert sind, sodass es zumindest mit dem oben beschrieben Verfahren nicht klappen dürfte.

    Dieses beruht nämlich darauf, in den beiden Executables nach einem vorher bekannten String zu suchen und ihn durch zwei kollidierende MD5-Strings zu ersetzen. Sind die Executables hinterher komprimiert worden, findet sich der bekannte String darin natürlich nicht mehr.

    Und wenn man die Executables vorher zurechtmanipuliert, Wird das Ergebnis der Kompression anders aussehen. (da Kompression in diesem Falle ja injektiv sein muss)

    Der Hash der komprimierten Archive wäre dann mit hoher Wahrscheinlichkeit auch wieder verschieden.

    Man könnte natürlich jetzt natürlich einen anderen Ansatz verfolgen: nach diesem wäre es egal, ob die Executables in den Archiven die gleichen Hashwerte haben, sondern es käme nur darauf an, dass die Archive selbst die gleichen Hashwerte besitzen. Dafür sollte sich das im Originalposting beschriebene Verfahren aber nicht eignen.

  5. Re: praktisch nutzen ...

    Autor: Farthen 30.12.08 - 20:31

    Es gibt kein "Linux 11.0" höchstens OpenSuse 11.0. Das ist ein großer Unterschied. Mit "Linux" kann sonst vielleicht noch der Kernel gemeint sein, nur der ist grade stable bei Version 2.6.28 und unstable bei 2.6.28-git2. So, wollte ich mal gesagt haben :-)

  6. Re: praktisch nutzen ...

    Autor: Der braune Lurch 30.12.08 - 21:02

    Vielleicht wollte der Vorposter auch darauf hinaus, dass es kein Paketmanagement für Linux an sich gibt.

  7. Re: praktisch nutzen ...

    Autor: firehorse 30.12.08 - 23:50

    "Mit einem Cluster aus 200 Playstation 3, den vorab bekannten Seriennummern und dem bekannten Angriff auf MD5 benötigten die Hacker ein bis zwei Tage, um ein kollidierendes Zertifikat zu finden."

    Bitte lese den Text noch einmal ganz aufmerksam...

  8. Re: praktisch nutzen ...

    Autor: wurst 31.12.08 - 02:21

    Und du "lies" den meinen noch einmal ganz aufmerksam. Dann stellst du fest, dass dein Zitat den ersten Absatz meines Textes nicht widerspricht und dass der zweite ganz eventuell nicht ganz ernst gemeint war.

    Herzlichen Glückwunsch.

  9. Re: praktisch nutzen ...

    Autor: RaiseLee 01.01.09 - 11:28

    In deinem Post sprichts du von erzeugung, in diesem Artikel geht es um das aufspüren. (Wenn man mal die Zitate von den Postern zusammen nimmt)

    Artikel "Um ein kollidierendes Zeritifkat zu finden"...

    Dein Post
    "Es lassen sich schon seit über zwei Jahren damit in wenigen Stunden (!) auf einem normalen Rechner z.B. zwei völlig verschiedene Executables mit gleicher MD5-Summe erzeugen"

    Ganz andere charge....

  10. Re: praktisch nutzen ...

    Autor: firehorse 02.01.09 - 08:48

    thx ;)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
  2. Allianz Deutschland AG, München Unterföhring
  3. Getriebebau NORD GmbH & Co. KG, Bargteheide bei Hamburg
  4. über duerenhoff GmbH, Raum Lübeck

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


    Arbeitsklima: Schlangengrube Razer
    Arbeitsklima
    Schlangengrube Razer

    Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
    Ein Bericht von Peter Steinlechner

    1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
    2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
    3. Junglecat Razer-Controller macht das Smartphone zur Switch

    Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
    Mobile-Games-Auslese
    Märchen-Diablo für Mobile-Geräte

    "Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
    Von Rainer Sigl

    1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
    2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
    3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

    1. Baystream: The Pirate Bay mit neuem Streaming-Angebot
      Baystream
      The Pirate Bay mit neuem Streaming-Angebot

      Neuer Anlauf für hochwertiges Streaming aus meist illegalen Quellen bei The Pirate Bay. Doch Baystream läuft noch nicht besonders stabil.

    2. GrapheneOS: Ein gehärtetes Android ohne Google, bitte
      GrapheneOS
      Ein gehärtetes Android ohne Google, bitte

      Äußerlich unterscheidet es nicht viel von einem sauberen Android 10 - nur die Google-Apps fehlen. Doch im Inneren von GrapheneOS stecken einige Sicherheitsfunktionen. Wir haben den Nachfolger von Copperhead OS ausprobiert.

    3. Microsoft: Xbox Scarlett streamt möglicherweise schon beim Download
      Microsoft
      Xbox Scarlett streamt möglicherweise schon beim Download

      Solange der Download des Spiels läuft, könnten Besitzer der nächsten Xbox ja schon mal per Cloud Gaming das Tutorial oder die ersten Levels absolvieren: Das plant Microsoft laut einem Medienbericht für die nächste Konsolengeneration. Ein paar technische Spezifikationen sind ebenfalls geleakt.


    1. 12:04

    2. 12:03

    3. 11:52

    4. 11:40

    5. 11:30

    6. 11:15

    7. 11:00

    8. 10:45