Theo hiểu biết của tôi, MD5 vẫn có khả năng chống lại các cuộc tấn công tạo ảnh trước trong tổng quan trường hợp, nhưng kẻ tấn công vẫn có thể khởi động một cuộc tấn công giả định thứ hai nếu một tệp vô tội đủ "không may mắn" để trở thành một ứng cử viên va chạm khả thi.
- Tỷ lệ cược của một tệp ngẫu nhiên có độ dài đồng đều là bao nhiêu $512n$ bit là một ứng cử viên cho một cuộc tấn công va chạm MD5?
- Có thể phát hiện ứng cử viên tấn công hiện đại nhất từ chỉ cần $H(m)$, hoặc tôi cần có quyền truy cập vào $m$ nói?
Tôi đã được truyền cảm hứng cho câu hỏi này khi đọc nó Github giúp SHA-1 hoạt động trong các dịch vụ sản xuất công khai bất chấp sự tồn tại đã được chứng minh của các cuộc tấn công va chạm:
Cuộc tấn công gần đây sử dụng các kỹ thuật đặc biệt để khai thác điểm yếu trong thuật toán SHA-1 để tìm ra xung đột ít hơn nhiều [so với $2^{160}$] thời gian. Các kỹ thuật này để lại một mẫu trong các byte có thể được phát hiện khi tính toán SHA-1 của một trong hai nửa của cặp xung đột.
GitHub.com hiện thực hiện phát hiện này cho từng SHA-1 mà nó tính toán và hủy bỏ hoạt động nếu có bằng chứng cho thấy đối tượng là một nửa của cặp va chạm. Điều đó ngăn những kẻ tấn công sử dụng GitHub để thuyết phục một dự án chấp nhận một nửa "vô tội" trong vụ va chạm của chúng, cũng như ngăn chúng lưu trữ một nửa độc hại.
Khả năng dương tính giả có thể được bỏ qua vì xác suất nhỏ hơn $2^{-90}$.
"Khi tính toán" gợi ý (cùng với phân tích nghiệp dư của tôi về mật mã) điều đó $m$ Là cần thiết để phát hiện cuộc tấn công SHAttered, nhưng tôi không rõ liệu các vụ va chạm MD5 có cùng yêu cầu phát hiện hay không hoặc nếu chúng có thể chỉ được dự đoán từ bản tóm tắt.