MD5
Uit Yapf
Inhoud |
Wat is MD5?
Het is een hash. Wat is een hash: een hash is een klein stuk informatie wat iets vertelt over een (meestal veel groter) origineel.
Een MD5 hash is een serie van 32 tekens van 0-9 plus A-F. De formule waarmee ze gemaakt worden is zo ontworpen dat een kleine verandering in de brondata een grote verandering in de hash op zal leveren. Dit maakt MD5 bijzonder bruikbaar om te controleren of twee bronnen identiek zijn; als de lengte van de bronnen hetzelfde is en de MD5 van de twee bronnen is hetzelfde dan zijn de bronnen zeer waarschijnlijk ook hetzelfde. Het is niet mogelijk om bijvoorbeeld een byte wat lager te maken en een andere byte wat hoger om op dezelfde hash uit te komen.
Collisions
Een collision is in deze context een set van twee bronnen die niet hetzelfde zijn, maar wel even lang zijn en dezelfde MD5 hash opleveren.
Het feit dat een MD5 hash slechts 32 tekens van 16 opties lang is garandeert dat er collions moeten zijn, er is een beperkt aantal mogelijke hashes terwijl het aantal bronnen oneindig groot is, dus dat ze gevonden werden is altijd slechts een kwestie van tijd geweest en daarom is SHA ook ontwikkeld.
De eerste collision die gevonden werd was op een serie binaire data van 2 kilobyte lang.
Q&A
Kan ik MD5 decoderen
Nee. De formule waarmee de hash wordt gemaakt is niet omkeerbaar, punt.
Is het dan echt niet te kraken?
Niet echt kraken, de enige manier om te achterhalen waar een MD5 hash van gemaakt is is om met brute kracht alle mogelijke bronnen te genereren en te zien of de MD5 hash daarvan hetzelfde is als de hash die je zoekt. Dat is voor een wachtwoord snel gebeurd (72^10 opties), maar voor een binaire string van 2kb red je het niet meer binnen dit leven (255^2000 opties).
Maar er bestaan toch MD5 decoders?
Nee die bestaan niet. Er bestaan lijsten van bekende woorden en hun MD5hash. Die "decoders" zoeken botweg of de hash die jij opgeeft voorkomt in hun lijst van bekende hashes. Komt hij voor dan heb je geluk, komt hij niet voor dan heb je pech.
Is SHA1 beter?
Ja, als je lange bronnen wilt vergelijken dan is SHA1 beter.
Dus ik moet SHA1 gebruiken voor wachtwoorden?
Dat kan, maar hoeft niet want er zijn geen collisions met de lengte van wachtwoorden, de eerste zit op tweeduizend binaire tekens terwijl een wachtwoord hooguit 10 tekens lang zal zijn.