AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Sicherheitslücke in MD5-Hash?

Ein Thema von humbuck · begonnen am 26. Nov 2014 · letzter Beitrag vom 27. Nov 2014
Antwort Antwort
Seite 2 von 4     12 34   
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#11

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:53
Die MD5.pas von dir unterscheidet sich zwar stark von meiner MD5.pas aber beide erzeugen die gleichen unterschiedlichen Hashs für meine Teststrings:

Delphi-Quellcode:
procedure TForm3.FormCreate(Sender: TObject);
begin
  Edit1.Text := MD5_humbuck.MD5Print(MD5_humbuck.MD5String('12345_test123'));
  Edit2.Text := MD5_humbuck.MD5Print(MD5_humbuck.MD5String('12345_blabla5'));

  Edit3.Text := MD5.MD5DigestToStr(MD5.MD5String('12345_test123'));
  Edit4.Text := MD5.MD5DigestToStr(MD5.MD5String('12345_blabla5'));
end;
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.102 Beiträge
 
Delphi 12 Athens
 
#12

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:54
Lad doch mal deine MD5.pas hoch.
Und deinen Code, wie du es verwendest.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PosEx im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Klaus01
Online

Registriert seit: 30. Nov 2005
Ort: München
5.768 Beiträge
 
Delphi 10.4 Sydney
 
#13

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:55
In XE4 ist ein String ein UniCodeString.
Ein Char ein UniCodeChar - damit 2 Byte lang.

Das dürfte hier zu einem Problem führen (md5.pas):
Delphi-Quellcode:
// Create digest of given Message
function MD5String(M: string): MD5Digest;
var
   Context: MD5Context;
begin
   MD5Init(Context);
   MD5Update(Context, PChar(M), Length(M));
   MD5Final(Context, Result);
end;
das sollte dann wieder funktionieren.
Delphi-Quellcode:
// Create digest of given Message
function MD5String(M: string): MD5Digest;
var
   Context: MD5Context;
begin
   MD5Init(Context);
   MD5Update(Context, PChar(M), Length(M) * sizeOf(Char));
   MD5Final(Context, Result);
end;
Grüße
Klaus
Klaus
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.102 Beiträge
 
Delphi 12 Athens
 
#14

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:56
Die Md5.pas ist definitiv nicht Unicoefähig.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PosEx im Delphi viel seltener praktiziert.

Geändert von himitsu (26. Nov 2014 um 15:57 Uhr) Grund: zu langsam
  Mit Zitat antworten Zitat
gammatester

Registriert seit: 6. Dez 2005
999 Beiträge
 
#15

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 15:57
Beide MD5 brauchen $Q-, bei der einen ist es schon eingebaut. Wahrscheinlich frönst Du der Unart, Strings zu hashen. Dieser Teil ist nicht Unicode-String kompatibel.
Delphi-Quellcode:
function MD5String(M: string): MD5Digest;
var
   Context: MD5Context;
begin
   MD5Init(Context);
   MD5Update(Context, PChar(M), Length(M));
   MD5Final(Context, Result);
end;
  Mit Zitat antworten Zitat
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#16

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 16:03
Das könntes es sein...

Tja, lieber Neutral General, mit den von dir verwendeten Strings erhalte ich ebenfalls unterschiedliche Hashes...

Hier mein Code zur Umsetzung:

type
TBenutzer = record
User : string[50];
Rechte : Packed Array[0..29] OF Boolean;
Aktiv : Boolean;
Passwort: string[50];
HashCode: String[32];
end;

Var
User: TBenutzer;

procedure TPasswordDlg.Button1Click(Sender: TObject);
Var Text :String;
I : Integer;
begin
Text := '';
for I := 0 to Memo2.Lines.Count do
begin
Text := Text + Memo2.Lines.Strings[I];
end;
Label4.Caption := Text;
Memo2.Lines.Clear;
Edit1.Text := MD5DigestToStr(MD5String(Text));
User.HashCode := MD5DigestToStr(MD5String(Text));
end;

Die Eingaben erfolgten jedoch immer nur in der ersten Zeile des Memofeldes... ohne Return...
Jörch
  Mit Zitat antworten Zitat
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#17

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 16:15
Ich werde die Dateien wohl entsprechend anpassen müssen. (Komme ich heute wohl nicht mehr zu...)

Wenn ich zu einem Ergebnis gekommen bin, werde ich es hier posten.

Zunächst erstmal vielen Dank für alle Vorschläge.

Bis denne...
Humbuck
Jörch
  Mit Zitat antworten Zitat
Benutzerbild von Uwe Raabe
Uwe Raabe

Registriert seit: 20. Jan 2006
Ort: Lübbecke
11.463 Beiträge
 
Delphi 12 Athens
 
#18

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 16:21
Bin (fast) von einem Troll ausgegangen aufgrund deines Namens
Vielleicht eher ein Gitarrist? Humbucker
Uwe Raabe
Certified Delphi Master Developer
Embarcadero MVP
Blog: The Art of Delphi Programming
  Mit Zitat antworten Zitat
Benutzerbild von humbuck
humbuck

Registriert seit: 26. Nov 2014
Ort: BW
65 Beiträge
 
Delphi XE4 Professional
 
#19

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 17:41
So, ich habe die MD5 Datei (MD5.pas) modifiziert, wie von Klaus01 vorgeschlagen und... es funzt. Vielen Dank.

Ich hatte nicht berücksichtigt, dass in XE4 ein String ein UniCodeString ist.

Die Änderung in:

MD5Update(Context, PChar(M), Length(M) * sizeOf(Char)); erziehlt das gewünschte Ergebnis.

Vielen Dank.
(Natürlich an alle...)

P.S: Vielleicht noch an alle, die im guten Glauben sind, ihre MD5.pas arbeitet einwandfrei...
JETZT testen, falls ihr den selben Fehler beim Einsatz der MD5.pas (...auch die DelphiMD5.pas), wie ich gemacht habt, ungeprüft von einer alten Delphi Version auf eine neuere zu wechseln.
Jörch
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu
Online

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.102 Beiträge
 
Delphi 12 Athens
 
#20

AW: Sicherheitslücke in MD5-Hash?

  Alt 26. Nov 2014, 17:48
Es gibt von vielen md5.pas eben auch neuere Versionen, welche man beim Upgrade der Delphi-Version natürlich auch mit aktualisieren sollte.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PosEx im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:34 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz