Sicherheitslücke in MD5-Hash?

**himitsu**

Natürlich gibt es mehrere Strings, welche den selben Hash haben. Praktisch Unendlich durch Hashgröße.
Ein hast ist auch nur eine Art von Quersumme und 12+4 ist das Selbe wie 4+12, Aber es ist sher unwahrscheinlich soetwas zu treffen.

PS: siehe Rainbowtables ... man kann für einen MD5-Hash ein Wort finden, welches passt, aber es muß nicht der originale Text sein.

Zitat:

Hashed Du evtl nur die Längenangabe des Strings?

Oder den Pointer des Strings.

**humbuck**

Also erstmal danke für die schnellen Reaktionen...

Getestet habe ich die benannten Dateien mit XE4.

Das Resultat ist auf jeden Fall nicht immer eindeutig...

Beispiel:
dasisteinstringmittext = A5DCD7F958FBEFD92D0DDD784BE3E738

dasisteinstringmimmext = A5DCD7F958FBEFD92D0DDD784BE3E738

oder
Hallo Helga = 6C59769B57CCF847A83F5DD62E2CD0E9

Hallo Heimo = 6C59769B57CCF847A83F5DD62E2CD0E9

Hallo XXXXX = 6C59769B57CCF847A83F5DD62E2CD0E9

Interessant jedoch:

dasisteinstringmittext = A5DCD7F958FBEFD92D0DDD784BE3E738

dasisnocheinstringmitt = 535B5C75C062C8033F9584FE88FF42B2

Hat da jemand vielleicht eine Erklärung...?

Jedenfalls: Humbuck ist es nicht, was ich festgestellt habe.
Bitte einfach mal selbst testen...

**Neutral General**

Ich habe es selbst getestet.

Lad doch mal deine MD5.pas hoch.

Bin (fast) von einem Troll ausgegangen aufgrund deines Namens und dass du dich dafür frisch angemeldet hast und der Tatsache dass ich es nicht reproduzieren kann und so ein schwerwiegender Fehler sicherlich schon länger aufgefallen wäre.

**humbuck**

Hier die Dateien:

**humbuck**

Verwendet / getestet habe ich beide Dateien. Die MD5.pas habe ich modifizieren müssen, da permanent ein Integer-Überlauf eine Fehlermeldung erzeugte...

**Klaus01**

In XE4 ist ein String ein UniCodeString.
Ein Char ein UniCodeChar - damit 2 Byte lang.

Das dürfte hier zu einem Problem führen (md5.pas):

markieren

Delphi-Quellcode:

			// Create digest of given Message

function MD5String(M: string): MD5Digest;

var

   Context: MD5Context;

begin

   MD5Init(Context);

   MD5Update(Context, PChar(M), Length(M));

   MD5Final(Context, Result);

end;

das sollte dann wieder funktionieren.

markieren

Delphi-Quellcode:

			// Create digest of given Message

function MD5String(M: string): MD5Digest;

var

   Context: MD5Context;

begin

   MD5Init(Context);

   MD5Update(Context, PChar(M), Length(M) * sizeOf(Char));

   MD5Final(Context, Result);

end;

Grüße
Klaus

**himitsu**

Die Md5.pas ist definitiv nicht Unicoefähig.

**gammatester**

Beide MD5 brauchen $Q-, bei der einen ist es schon eingebaut. Wahrscheinlich frönst Du der Unart, Strings zu hashen. Dieser Teil ist nicht Unicode-String kompatibel.

markieren

Delphi-Quellcode:

			function MD5String(M: string): MD5Digest;

var

   Context: MD5Context;

begin

   MD5Init(Context);

   MD5Update(Context, PChar(M), Length(M));

   MD5Final(Context, Result);

end;

**humbuck**

Das könntes es sein...

Tja, lieber Neutral General, mit den von dir verwendeten Strings erhalte ich ebenfalls unterschiedliche Hashes...

Hier mein Code zur Umsetzung:

type
TBenutzer = record
User : string[50];
Rechte : Packed Array[0..29] OF Boolean;
Aktiv : Boolean;
Passwort: string[50];
HashCode: String[32];
end;

Var
User: TBenutzer;

procedure TPasswordDlg.Button1Click(Sender: TObject);
Var Text :String;
I : Integer;
begin
Text := '';
for I := 0 to Memo2.Lines.Count do
begin
Text := Text + Memo2.Lines.Strings[I];
end;
Label4.Caption := Text;
Memo2.Lines.Clear;
Edit1.Text := MD5DigestToStr(MD5String(Text));
User.HashCode := MD5DigestToStr(MD5String(Text));
end;

Die Eingaben erfolgten jedoch immer nur in der ersten Zeile des Memofeldes... ohne Return...

**himitsu**

Das war bestimmt nur per Standart ein

Bug.

Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

Stichworte

Forumregeln

humbuck Registriert seit: 26. Nov 2014 Ort: BW 65 Beiträge Delphi XE4 Professional	#5 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 14:45 Verwendet / getestet habe ich beide Dateien. Die MD5.pas habe ich modifizieren müssen, da permanent ein Integer-Überlauf eine Fehlermeldung erzeugte... Jörch
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.556 Beiträge Delphi 12 Athens	#7 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 14:56 Die Md5.pas ist definitiv nicht Unicoefähig. Ein Therapeut entspricht 1024 Gigapeut. Geändert von himitsu (26. Nov 2014 um 14:57 Uhr) Grund: zu langsam
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.556 Beiträge Delphi 12 Athens	#10 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 23:35 Das war bestimmt nur per Standart ein Bug. Ein Therapeut entspricht 1024 Gigapeut.
	Zitat