Anuncio
En un artículo reciente sobre comprobar si estabas afectado por el incidente de piratería de Gawker Cómo averiguar si su dirección de correo electrónico se filtró a través de la base de datos de Gawker Lee mas , uno de los pasos implicados para convertir su dirección de correo electrónico en un hash MD5.
Tuvimos algunas preguntas de los lectores que preguntaban exactamente qué estaba pasando y por qué este proceso era necesario. No es nuestro estilo dejarles a ustedes haciendo preguntas, así que aquí hay un resumen completo de MD5, hash y una pequeña descripción de las computadoras y la criptografía.
Hash Criptográfico
MD5 significa METROensayo reigest algoritmo 5, y fue inventado por el famoso criptógrafo estadounidense Profesor Ronald Rivest en 1991 para reemplazar el antiguo estándar MD4. MD5 es simplemente el nombre de un tipo de función de cifrado criptográfico que se le ocurrió a Ron en el '91.
La idea detrás del hashing criptográfico es tomar un bloque arbitrario de datos y devolver un valor de "hash" de tamaño fijo. Puede ser cualquier dato, de cualquier tamaño, pero el valor hash siempre será fijo. Pruébalo por ti mismo
aquí.
El hash criptográfico tiene varios usos, y hay una gran cantidad de algoritmos (que no sean MD5) diseñados para hacer un trabajo similar. Uno de los principales usos del hashing criptográfico es verificar el contenido de un mensaje o archivo después de la transferencia.
Si alguna vez ha descargado un archivo particularmente grande (Linux distribuciones, ese tipo de cosas) probablemente habrás notado el valor hash que lo acompaña. Una vez que se ha descargado este archivo, puede usar el hash para verificar que el archivo que descargó no es diferente al archivo anunciado.
El mismo método funciona para los mensajes, con el hash que verifica que el mensaje recibido coincida con el mensaje enviado. En un nivel muy básico, si usted y un amigo tienen un archivo grande cada uno y desean verificar que son exactamente iguales sin la transferencia considerable, el código hash lo hará por usted.
Los algoritmos de hash también juegan un papel en la identificación de datos o archivos. Un buen ejemplo de esto es redes de intercambio de archivos punto a punto, como eDonkey2000. El sistema utilizó una variante del algoritmo MD4 (abajo) que también combinó el tamaño del archivo en un hash para apuntar rápidamente a los archivos en la red.
Un ejemplo característico de esto es la capacidad de encontrar rápidamente datos en tablas hash, un método comúnmente utilizado por los motores de búsqueda.
Otro uso para los hashes es el almacenamiento de contraseñas. Almacenar contraseñas como texto claro es una mala idea, por razones obvias, por lo que se convierten en valores hash. Cuando un usuario ingresa una contraseña, se convierte en un valor hash y se compara con el hash almacenado conocido. Como el hash es un proceso unidireccional, siempre que el algoritmo sea sólido, en teoría hay pocas posibilidades de que la contraseña original se descifre del hash.
El hash criptográfico también se usa a menudo en la generación de contraseñas y contraseñas derivadas de una sola frase.
Algoritmo de resumen de mensaje 5
La función MD5 proporciona un número hexadecimal de 32 dígitos. Si tuviéramos que convertir "makeuseof.com" en un valor hash MD5, se vería así: 64399513b7d734ca90181b27a62134dc. Fue construido sobre un método llamado Merkle "" Estructura Damgår (abajo), que se utiliza para construir lo que se conoce como funciones hash "a prueba de colisión".
Sin embargo, ninguna seguridad es a prueba de todo y en 1996 se encontraron posibles fallas dentro del algoritmo de hash MD5. En ese momento, estos no se consideraron fatales y se siguió utilizando MD5. En 2004, se descubrió un problema mucho más grave después de que un grupo de investigadores describiera cómo hacer que dos archivos separados compartan el mismo valor hash MD5. Esta fue la primera vez que se usó un ataque de colisión contra el algoritmo de hash MD5. Un ataque de colisión intenta encontrar dos salidas arbitrarias que producen el mismo valor hash, por lo tanto, una colisión (dos archivos existentes con el mismo valor).
En los años siguientes se intentaron encontrar más problemas de seguridad dentro de MD5, y en 2008 otro grupo de investigación logró utilizar el método de ataque de colisión para fingir Certificado SSL validez. Esto podría engañar a los usuarios para que piensen que están navegando de forma segura, cuando no lo están. El Departamento de Seguridad Nacional de EE. UU. Anunciado ese: "los usuarios deben evitar usar el algoritmo MD5 en cualquier capacidad. Como la investigación previa ha demostrado, debe considerarse criptográficamente roto e inadecuado para su uso posterior.“.
A pesar de la advertencia del gobierno, muchos servicios todavía usan MD5 y, como tales, están técnicamente en riesgo. Sin embargo, es posible "eliminar" las contraseñas para evitar posibles atacantes que utilizan ataques de diccionario (prueba de palabras conocidas) contra el sistema. Si un hacker tiene una lista de contraseñas aleatorias de uso frecuente y la base de datos de su cuenta de usuario, puede verificar los hashes de la base de datos con los de la lista. Salt es una cadena aleatoria, que está vinculada a los hashes de contraseñas existentes y luego se vuelve a hash. El valor de sal y el hash resultante se almacenan en la base de datos.
Si un pirata informático quisiera averiguar las contraseñas de sus usuarios, primero tendría que descifrar los hash salt, y esto hace que un ataque de diccionario sea bastante inútil. Salt no afecta la contraseña en sí, por lo que siempre debe elegir una contraseña difícil de adivinar.
Conclusión
MD5 es uno de los muchos métodos diferentes de identificación, seguridad y verificación de datos. El hash criptográfico es un capítulo vital en la historia de la seguridad y mantiene las cosas ocultas. Al igual que con muchas cosas diseñadas teniendo en cuenta la seguridad, alguien se fue y lo rompió.
Probablemente no tendrá que preocuparse demasiado por el hashing y las sumas de comprobación MD5 en sus hábitos diarios de navegación, pero al menos ahora sabe lo que hacen y cómo lo hacen.
¿Alguna vez has necesitado hacer algo? ¿Verificas los archivos que descargas? ¿Conoces alguna buena aplicación web MD5? ¡Háganos saber en los comentarios!
Imagen de introducción: Shutterstock
Tim es un escritor independiente que vive en Melbourne, Australia. Puedes seguirlo en Twitter.