【赛迪网讯】安全研究专家Dan Kaminsky近日在一份报告中指出,目前世界通信密码标准“MD5”(信息-摘要算法)面临诸多被破译的风险。这意味着经过MD5标准认定的加密文件、应用程序等存在着潜在的被攻破的危险。
Kaminsky在题为“MD5面临的危险”的报告中在理论上进一步扩展了中国安全研究专家王小云(音)、冯登国(音)、赖雪家(音)和俞洪波(音)此前发表的题为“MD5算法功能的冲突”的文章。Kaminsky利用一个加密文件演示了他所描述的破译攻击。
这里所指的算法冲突是指经过同一算法功能可能导出两种完全相同的输出信息,这种情形说明一加密法则并不能保密,可能会受到攻击。今年8月份,法国研究专家Antoine Joux在国际密码学年会(Crypto 2004)提交的一篇未经发表的论文与中国专家提出并经Kaminsky延伸的论点相一致。
当时,这一惊人发现促使数据存储设备巨头EMC赶紧出来安抚用户,EMC表示其设备中的MD5算法是经过改进,并隐藏在平台深层,因此根本不可能被攻破。Kaminsky说,“有人认为王小云跟Joux 的研究结果并没有深层次的意义,他们错了,事实上任意负载可以成功地集成到算法冲突中去。”
当前,MD5被广泛地应用于大量文件服务器和端到端(P2P )网络,同时也是保证文件完整性的一个办法。Kaminsky表示,大量用户对可能嵌入MD5冲突的信息熟视无睹。Kaminsky指出,“恶意软件开发者很可能会借此漏洞攫取不安全的代码,或许还可能得到第三方的签名。加密工具本身也可能在一个安全版本中嵌入危险负载,在未来某一时刻,该负载可以安全‘启动’。”
Kaminsky同时也指出,数字签名系统也存在潜在的弱点,因为用户签名通常都使用经过算法加密的数据。UNIX/Linux系统中的密码也以MD5格式保存,但Kaminsky指出这种密码并不会遭受MD5受到的类似攻击。
尽管Kaminsky在分析的同时还提供了大量证据,他也承认目前发现的攻击事件很少。Kaminsky说,“攻击的迅速漫延在现实中还不大可能,但这一风险却实实在在存在,足以引起相关工程师的警觉。这不仅仅是学术研究方面的威胁,通过MD5设计的系统如果使用了完整的单向函数算法(hashing algorithm),问题会变得越来越严重。”
1991年,MD4暴露出致命缺陷,接下来推出的MD5经过了修补。但进入1996年,MD5同又暴露出了新的缺陷,而发现者和MD4缺陷的发现为同一人,Hans Dobbertin。
