Sicherheitslücke in MD5-Hash?

**humbuck**

Verwendet / getestet habe ich beide Dateien. Die MD5.pas habe ich modifizieren müssen, da permanent ein Integer-Überlauf eine Fehlermeldung erzeugte...

**Klaus01**

In XE4 ist ein String ein UniCodeString.
Ein Char ein UniCodeChar - damit 2 Byte lang.

Das dürfte hier zu einem Problem führen (md5.pas):

markieren

Delphi-Quellcode:

			// Create digest of given Message

function MD5String(M: string): MD5Digest;

var

   Context: MD5Context;

begin

   MD5Init(Context);

   MD5Update(Context, PChar(M), Length(M));

   MD5Final(Context, Result);

end;

das sollte dann wieder funktionieren.

markieren

Delphi-Quellcode:

			// Create digest of given Message

function MD5String(M: string): MD5Digest;

var

   Context: MD5Context;

begin

   MD5Init(Context);

   MD5Update(Context, PChar(M), Length(M) * sizeOf(Char));

   MD5Final(Context, Result);

end;

Grüße
Klaus

**himitsu**

Die Md5.pas ist definitiv nicht Unicoefähig.

**gammatester**

Beide MD5 brauchen $Q-, bei der einen ist es schon eingebaut. Wahrscheinlich frönst Du der Unart, Strings zu hashen. Dieser Teil ist nicht Unicode-String kompatibel.

markieren

Delphi-Quellcode:

			function MD5String(M: string): MD5Digest;

var

   Context: MD5Context;

begin

   MD5Init(Context);

   MD5Update(Context, PChar(M), Length(M));

   MD5Final(Context, Result);

end;

**humbuck**

Das könntes es sein...

Tja, lieber Neutral General, mit den von dir verwendeten Strings erhalte ich ebenfalls unterschiedliche Hashes...

Hier mein Code zur Umsetzung:

type
TBenutzer = record
User : string[50];
Rechte : Packed Array[0..29] OF Boolean;
Aktiv : Boolean;
Passwort: string[50];
HashCode: String[32];
end;

Var
User: TBenutzer;

procedure TPasswordDlg.Button1Click(Sender: TObject);
Var Text :String;
I : Integer;
begin
Text := '';
for I := 0 to Memo2.Lines.Count do
begin
Text := Text + Memo2.Lines.Strings[I];
end;
Label4.Caption := Text;
Memo2.Lines.Clear;
Edit1.Text := MD5DigestToStr(MD5String(Text));
User.HashCode := MD5DigestToStr(MD5String(Text));
end;

Die Eingaben erfolgten jedoch immer nur in der ersten Zeile des Memofeldes... ohne Return...

**humbuck**

Ich werde die Dateien wohl entsprechend anpassen müssen. (Komme ich heute wohl nicht mehr zu...)

Wenn ich zu einem Ergebnis gekommen bin, werde ich es hier posten.

Zunächst erstmal vielen Dank für alle Vorschläge.

Bis denne...
Humbuck

**himitsu**

Das war bestimmt nur per Standart ein

Bug.

**DeddyH**

Was mich ein wenig verwundert: die DelphiMD5.pas scheint die meinerseits bearbeitete Version zu sein (siehe mein

Thread von damals), aber in meiner Datei hier auf dem Rechner sieht die Funktion ganz anders aus:

Zitat:

markieren

Delphi-Quellcode:

			function MD5String(const S: Ansistring): TMD5Digest;

begin

 Result:=MD5Buffer(PAnsiChar(S)^, Length(S));

end;

Anhand der Codeformatierung kann man davon ausgehen, dass diese Änderung nicht von mir vorgenommen wurde, das sähe anders aus. Ich kann mich nicht erinnern, diese Datei später noch einmal heruntergeladen und um die Compilerschalter ergänzt zu haben. Wo kommt also die gepostete Version her?

**Neutral General**

Meine Version sieht auch aus wie deine.
Das meinte ich als ich gesagt hab dass meine MD5.pas ganz anders aussieht als seine

**himitsu**

Der TE hat sich grade erst an angemeldet, da wird er deine Version nicht heruntergeladen haben können. (nicht ohne Anmeldung)

Wird wohl noch wer anderes an der Datei rumgefummelt haben.
PS: Es verstecken sich geschätzt noch mindestens 10 weitere Varianten von MD5-Units, in der DP.

Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

Stichworte

Forumregeln

humbuck Registriert seit: 26. Nov 2014 Ort: BW 65 Beiträge Delphi XE4 Professional	#1 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 14:45 Verwendet / getestet habe ich beide Dateien. Die MD5.pas habe ich modifizieren müssen, da permanent ein Integer-Überlauf eine Fehlermeldung erzeugte... Jörch
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.557 Beiträge Delphi 12 Athens	#3 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 14:56 Die Md5.pas ist definitiv nicht Unicoefähig. Ein Therapeut entspricht 1024 Gigapeut. Geändert von himitsu (26. Nov 2014 um 14:57 Uhr) Grund: zu langsam
	Zitat

humbuck Registriert seit: 26. Nov 2014 Ort: BW 65 Beiträge Delphi XE4 Professional	#6 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 15:15 Ich werde die Dateien wohl entsprechend anpassen müssen. (Komme ich heute wohl nicht mehr zu...) Wenn ich zu einem Ergebnis gekommen bin, werde ich es hier posten. Zunächst erstmal vielen Dank für alle Vorschläge. Bis denne... Humbuck Jörch
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.557 Beiträge Delphi 12 Athens	#7 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 23:35 Das war bestimmt nur per Standart ein Bug. Ein Therapeut entspricht 1024 Gigapeut.
	Zitat

Neutral General Registriert seit: 16. Jan 2004 Ort: Bendorf 5.219 Beiträge Delphi 10.2 Tokyo Professional	#9 AW: Sicherheitslücke in MD5-Hash? 27. Nov 2014, 08:35 Meine Version sieht auch aus wie deine. Das meinte ich als ich gesagt hab dass meine MD5.pas ganz anders aussieht als seine Michael "Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination, but because their imagination reveals worlds that others cannot see."
	Zitat