[LUG.ro] Re: [LUG.ro] Más sobre MD5

[Ulises Cerviño]

> La pregunta es: a ciencia cierta alguien puede especificar si a partir de este "descubrimiento",  qué implicancias puede tener en la seguridad de un sistema que utiliza este algoritmos en algunas partes sensitivas?
> 
> Hasta donde yo entiendo lo que se encontró fue la manera de generar dos cadenas que producen el mismo Hash MD5, nada más.

Estás en lo cierto. El artículo decía que es posible encontrar dos
cadenas (objetos) que produjesen la misma suma md5 en cuestion de
horas en una PC. Y es cierto, sin embargo es relativamente inútil y te
explico porque.

Suponete que tenés ganas de introducirle un backdoor a linux (si, al
kernel che!) y que para que no te pesquen querés que las sumas del
kernel original y del parcheado con tu backdoor sean iguales. El
problema surge ahora es que querés encontrar una cadena específica
(objeto específico), es decir el kernel parcheado, que además tenga la
misma suma md5.

Si lo pensás desde otro punto de vista, antes tenías una sola
restricción al problema (que tengan las mismas sumas md5) mientras que
ahora tenés una más: que el objeto encontrado sea así o asá. Y para
colmo, tiene que tener una cierta suma md5 fija. Esto, no es tan
sencillo como encontrar dos objetos aleatorios que tengan la misma
suma md5.

Personalmente no creo que esto tenga implicancias a breve plazo para
la seguridad. De todas maneras, es como para ir pensando (para que los
que saben vayan pensando) en nuevos esquemas.

Saludos,