Kan md5 dekrypteres?

[PT]

En venn av meg hevder at

crypt();

er sikrere enn

md5();

fordi md5(); kan dekrypteres, men ikke crypt();

Hva mener dere?

[Bluebeans]

Jeg mener at jeg nettopp lagde en tråd som ble ganske aktiv. Søk etter md5 i programmerings-forumet.

[PT]

md5 er for kort til å kunne søkes etter. Jeg prøvede før jeg postet. Søkte også etter '5d5 dekryptering' men fant ingenting...

[diskvask]

http://forum.hardware.no/index.php?showtopic=158903

[PT]

Takk.

I den tråden du henviser til konkluderes det altså med at md5 er sikkert, men er det sikrere enn crypt(); ?

Kameraten min hevder at crypt(); er sikrere fordi den krypterte teksten ikke er den samme hver gang, mens den md5-krypterte teksten er den samme...

[Torbjørn]

hvordan har han tenkt å validere et passord hvis ikke resultatet av krypteringen blir det samme hver gang?

[PT]

hvordan har han tenkt å validere et passord hvis ikke resultatet av krypteringen blir det samme hver gang?

Ved å kryptere en streng med den samme algorytmen som ligger i det krypterte passordet, kan man finne ut om passordet er riktig.

Dette er altså det han sier...

[Bluebeans]

Må vel komme med et sammendrag fra den tråden jeg lagde:

Alle har forskjellige meninger.

Noen mener det er fullt mulig, andre ikke. Noen mener at vis du har tid så går det. En del forskjellige meninger for å si det sånn

[PT]

Kan crypt(); dekrypteres på en lettere måte enn md5();?

Han sier også at md5(); bruker en formel for å kryptere teksten, mens crypt(); ikke bruker en formel, men bare helt tilfeldig tekst. Er dette sant?

[kilogram]

Eg vil ikkje sei at ein er sikrare enn den andre. Ingen av algoritmane som nyttast (crypt() bruker DES, for dei som lurer) har på nokon måte vorte knekt. Det er derimot ein allmenn standard å bruke MD5 for å lagre passord no til dags. T.d. gjer alle moderne forum det; IPB og phpBB er døme på dette.

 

Du skal bruke crypt() dersom du har ein verdi som du veit at du kan reprodusere seinare, viss ikkje bruker du md5().

 

Til dei som påstår at md5() kan knekkast, be han vise eit døme der det ikkje har tatt _år_ å knekke hashinga. Ta det med ro, den er sikker.

 

Forresten, slik at du er klar over det, korkje md5() eller crypt() er vanlig kryptering, det er snakk om ein-veis hashing.

[PT]

Forresten, slik at du er klar over det, korkje md5() eller crypt() er vanlig kryptering, det er snakk om ein-veis hashing.

Takker for et klart svar

Nå sier (den mer og mer plagsomme) kameraten min at en-veis hashing ikke finnes... Noen som kan fortelle meg hva jeg skal si til han? Kom gjerne med forslag som får han til å fortrenge hele diskusjonen

Jeg stoler mer på Kilogram enn på kameraten min som har holdt på med PHP i et halvt år for å si det slik... Dog, dette gjør ikke kameraten min Han er av den typen som begynner å kverulere når han ikke vil innse at han tar feil :gretten:

[kilogram]

Nå sier (den mer og mer plagsomme) kameraten min at en-veis hashing ikke finnes... Noen som kan fortelle meg hva jeg skal si til han? Kom gjerne med forslag som får han til å fortrenge hele diskusjonen

Om du har lyst til å gå for å utargumentere han; ta ein kikk på RFC1321, som er RFCen som beskriv MD5 som algoritme. Eg siterer frå oppsummeringa;

  This document describes the MD5 message-digest algorithm. The

  algorithm takes as input a message of arbitrary length and produces

  as output a 128-bit "fingerprint" or "message digest" of the input.

  It is conjectured that it is computationally infeasible to produce

  two messages having the same message digest, or to produce any

  message having a given prespecified target message digest. The MD5

  algorithm is intended for digital signature applications, where a

  large file must be "compressed" in a secure manner before being

  encrypted with a private (secret) key under a public-key cryptosystem

  such as RSA.

 

Du finn mykje interessant informasjon når det gjeld dette ved å søke på Google. Lykke til.

[[kami]]

joda, en veis hashing finnes =)

 

det går ikke an å putte en md5 string inn i en formel og få ut stringen.

 

Men hvorvidt en md5 string har svakheter som lar deg utelukke tegn, evt finne patterns i md'n når du skal bruteforce vet jeg ikke.

[_Wolfman_]

Både crypt() og md5() produserer en enveis hash.

 

Crypt() bruker en salt til å lage en hash. Denne salten er altid 2 første tegnene i resultat hash'en.

 

En måte å "decryptere" passord på er

http://www.openwall.com/john/

[RottePostei]

Hvis du finner en metode å dekryptere md5 på, har du funnet verdens mest geniale zip-metode.

Mange ftp'er legger en md5-hash av iso'ene på ftp'en. Når du har lasta ned isoen kan du lage din egen md5-hash av denne og sjekke den mot hashen på ftp'en. Hvis disse stemmer ble filen lastet ned riktig.

 

Hvis du kunne dektyptere md5, hadde du jo bare trengt å laste ned hashen

 

(JA. Dette er umulig)