Sicherheitslücke in MD5-Hash?

**humbuck**

So, ich habe die MD5 Datei (MD5.pas) modifiziert, wie von Klaus01 vorgeschlagen und... es funzt. Vielen Dank.

Ich hatte nicht berücksichtigt, dass in XE4 ein String ein UniCodeString ist.

Die Änderung in:

MD5Update(Context, PChar(M), Length(M) * sizeOf(Char)); erziehlt das gewünschte Ergebnis.

Vielen Dank.
(Natürlich an alle...)

P.S: Vielleicht noch an alle, die im guten Glauben sind, ihre MD5.pas arbeitet einwandfrei...
JETZT testen, falls ihr den selben Fehler beim Einsatz der MD5.pas (...auch die DelphiMD5.pas), wie ich gemacht habt, ungeprüft von einer alten Delphi Version auf eine neuere zu wechseln.

**himitsu**

Es gibt von vielen md5.pas eben auch neuere Versionen, welche man beim Upgrade der Delphi-Version natürlich auch mit aktualisieren sollte.

**OlafSt**

Nur der Vollständigkeit halber möchte ich noch erwähnen, das es Humbug heißt, nicht Humbuck

Da waren schon einige wieder auf der falschen Fährte.

**humbuck**

Moin, moin,

da das Thema ja noch nicht abgefischt zu sein scheint, möchte ich noch etwas ergänzen:
Die DelphiMD5.pas fand ich als Quellcode im Internet, dann Code kopiert und als .pas getestet.

Der Vollständigkeit halber möchte ich jetzt jedoch noch kurz die von mir auf anraten von Klaus01 modifizierte Datei MD5.pas mit den zusätzlich von mir eingefügten Compiler-Schaltern zum Download und prüfen / verwenden hochladen...

(Ist im Übrigen schon sehr spannend gewesen, wie schnell die Reaktionen mit einer entsprechenden Schlagzeile erfolgt sind... *grins*)

**Neutral General**

Zitat von humbuck:

(Ist im Übrigen schon sehr spannend gewesen, wie schnell die Reaktionen mit einer entsprechenden Schlagzeile erfolgt sind... *grins*)

Die Delphipraxis ist allgemein ziemlich schnell

**Sherlock**

Zitat von Neutral General:

Zitat von humbuck:

(Ist im Übrigen schon sehr spannend gewesen, wie schnell die Reaktionen mit einer entsprechenden Schlagzeile erfolgt sind... *grins*)

Die Delphipraxis ist allgemein ziemlich schnell

Und das auch bei vollkommen unreisserischen Titeln:

http://www.delphipraxis.net/182921-fehler-meldung.html

Sherlock

**humbuck**

Ja, bemerkenswert...

**lowmax_5**

Wäre es nicht sinnvoll alle bekannten MD5 Implementationen (incl. Closed Source) mit einem definierten Eingabestring zu testen, um zu prüfen, ob jedesmal der gleiche Hashwert ermittelt wird? So würden doch Implementationsfehler schnell erkannt werden. Oder mache ich hier einen Denkfehler?

**Neutral General**

Zitat von lowmax_5:

Wäre es nicht sinnvoll alle bekannten MD5 Implementationen (incl. Closed Source) mit einem definierten Eingabestring zu testen, um zu prüfen, ob jedesmal der gleiche Hashwert ermittelt wird? So würden doch Implementationsfehler schnell erkannt werden. Oder mache ich hier einen Denkfehler?

Ich denke mal jemand der MD5 implementiert wird die Ergebnisse seiner Implementation mit anderen vorhandenen vergleichen oder mit bekannten Hashwerten zu bestimmten Eingabedaten.

Der Algorithmus dieser Unit ist ja richtig und liefert korrekte Hashes.
Das einzige Problem war dass davon ausgegangen wurde dass ein Char immer 1 Byte groß ist.

**Luckie**

Zitat von Sherlock:

Und das auch bei vollkommen unreisserischen Titeln:

http://www.delphipraxis.net/182921-fehler-meldung.html

Ich habe ihn mal etwas reißerischer formuliert.

Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

AW: Sicherheitslücke in MD5-Hash?

Stichworte

Forumregeln

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.756 Beiträge Delphi 12 Athens	#2 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 16:48 Es gibt von vielen md5.pas eben auch neuere Versionen, welche man beim Upgrade der Delphi-Version natürlich auch mit aktualisieren sollte. Ein Therapeut entspricht 1024 Gigapeut.
	Zitat

OlafSt Registriert seit: 2. Mär 2007 Ort: Hamburg 284 Beiträge Delphi 10.2 Tokyo Professional	#3 AW: Sicherheitslücke in MD5-Hash? 26. Nov 2014, 23:02 Nur der Vollständigkeit halber möchte ich noch erwähnen, das es Humbug heißt, nicht Humbuck Da waren schon einige wieder auf der falschen Fährte.
	Zitat

humbuck Registriert seit: 26. Nov 2014 Ort: BW 65 Beiträge Delphi XE4 Professional	#7 AW: Sicherheitslücke in MD5-Hash? 27. Nov 2014, 11:00 Ja, bemerkenswert... Jörch
	Zitat

lowmax_5 Registriert seit: 9. Mai 2003 Ort: Münster, NRW 258 Beiträge Delphi 11 Alexandria	#8 AW: Sicherheitslücke in MD5-Hash? 27. Nov 2014, 11:02 Wäre es nicht sinnvoll alle bekannten MD5 Implementationen (incl. Closed Source) mit einem definierten Eingabestring zu testen, um zu prüfen, ob jedesmal der gleiche Hashwert ermittelt wird? So würden doch Implementationsfehler schnell erkannt werden. Oder mache ich hier einen Denkfehler?
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#10 AW: Sicherheitslücke in MD5-Hash? 27. Nov 2014, 11:14 Zitat von Sherlock: Und das auch bei vollkommen unreisserischen Titeln: http://www.delphipraxis.net/182921-fehler-meldung.html Ich habe ihn mal etwas reißerischer formuliert. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat