Em um artigo recente sobre como verificar se você foi afetado pelo incidente de hacking da Gawker Como descobrir se seu endereço de e-mail vazou através do banco de dados do Gawker Como saber se seu endereço de e-mail vazou através do banco de dados do Gawker Leia mais, uma das etapas envolvidas na conversão endereço de e-mail em um hash MD5.
Tivemos algumas perguntas dos leitores perguntando exatamente o que estava acontecendo e por que esse processo era necessário. Não é nosso estilo deixar vocês fazendo perguntas, então aqui está um resumo completo do MD5, hashing e uma pequena visão geral de computadores e criptografia.
Hashing Criptográfico
MD5 significa M essage D igest algorithm 5, e foi inventado pelo célebre professor norte-americano de criptografia Ronald Rivest em 1991 para substituir o antigo padrão MD4. O MD5 é simplesmente o nome de um tipo de função de hashing criptográfico que Ron criou, em 1991.
A idéia por trás do hashing criptográfico é pegar um bloco arbitrário de dados e retornar um valor “hash” de tamanho fixo. Pode ser qualquer dado, de qualquer tamanho, mas o valor do hash será sempre fixo. Experimente por si mesmo aqui.
O hashing criptográfico tem vários usos e há um grande número de algoritmos (além do MD5) projetados para fazer um trabalho semelhante. Um dos principais usos do hashing criptográfico é verificar o conteúdo de uma mensagem ou arquivo após a transferência.
Se você já baixou um arquivo particularmente grande (distribuições Linux, esse tipo de coisa), você provavelmente notará o valor de hash que o acompanha. Depois que esse arquivo tiver sido baixado, você poderá usar o hash para verificar se o arquivo que você baixou não é diferente do arquivo anunciado.
O mesmo método funciona para mensagens, com o hash verificando se a mensagem recebida corresponde à mensagem enviada. Em um nível muito básico, se você e um amigo tiverem um arquivo grande cada e quiserem confirmar que são exatamente iguais sem a transferência pesada, o código hash fará isso por você.
Os algoritmos de hashing também desempenham um papel na identificação de dados ou arquivos. Um bom exemplo disso são as redes de compartilhamento de arquivos ponto a ponto, como o eDonkey2000. O sistema usou uma variante do algoritmo MD4 ( abaixo ) que também combinou o tamanho do arquivo em um hash para apontar rapidamente para os arquivos na rede.
Um exemplo de assinatura disso está na capacidade de encontrar rapidamente dados em tabelas de hash, um método comumente usado pelos mecanismos de pesquisa.
Outro uso para hashes está no armazenamento de senhas. Armazenar senhas como texto não criptografado é uma má ideia, por razões óbvias, portanto, elas são convertidas em valores hash. Quando um usuário insere uma senha, ele é convertido em um valor de hash e verificado em relação ao hash armazenado conhecido. Como o hashing é um processo unidirecional, desde que o algoritmo seja sólido, há teoricamente poucas chances de a senha original ser decodificada a partir do hash.
O hashing criptográfico também é frequentemente usado na geração de senhas e senhas derivadas de uma única frase.
Algoritmo Message Digest 5
A função MD5 fornece um número hexadecimal de 32 dígitos. Se fôssemos transformar o 'makeuseof.com' em um valor de hash MD5, ele seria semelhante a: 64399513b7d734ca90181b27a62134dc . Foi construído sobre um método chamado Merkle ”“ Damgård estrutura ( abaixo ), que é usado para construir o que é conhecido como funções hash “à prova de colisão”.
Nenhuma segurança é à prova de qualquer coisa, no entanto e em 1996 falhas potenciais foram encontradas dentro do algoritmo hash MD5. Na época, eles não eram considerados fatais e o MD5 continuou a ser usado. Em 2004, um problema muito mais sério foi descoberto depois que um grupo de pesquisadores descreveu como fazer dois arquivos separados compartilharem o mesmo valor de hash MD5. Esta foi a primeira instância de um ataque de colisão sendo usado contra o algoritmo de hash MD5. Um ataque de colisão tenta encontrar duas saídas arbitrárias que produzem o mesmo valor de hash - portanto, uma colisão (dois arquivos existentes com o mesmo valor).
Ao longo dos próximos anos, tentaram encontrar mais problemas de segurança no MD5 e, em 2008, outro grupo de pesquisa conseguiu usar o método de ataque de colisão para falsificar a validade do certificado SSL. Isso pode levar os usuários a pensar que estão navegando com segurança, quando não estão. O Departamento de Segurança Interna dos EUA anunciou que: “os usuários devem evitar o uso do algoritmo MD5 em qualquer capacidade. Como pesquisas anteriores demonstraram, devem ser consideradas quebradas criptograficamente e inadequadas para uso posterior ”.
Apesar do aviso do governo, muitos serviços ainda usam o MD5 e, como tal, estão tecnicamente em risco. No entanto, é possível "salgar" senhas, para evitar que invasores em potencial usem ataques de dicionário (testando palavras conhecidas) contra o sistema. Se um hacker tiver uma lista de senhas usadas com frequência e seu banco de dados de contas de usuário, ele poderá verificar os hashes no banco de dados em relação aos da lista. Salt é uma string aleatória, que é vinculada aos hashes de senha existentes e, em seguida, novamente hash. O valor de sal e o hash resultante são então armazenados no banco de dados.
Se um hacker quisesse descobrir as senhas de seus usuários, ele precisaria decifrar os hashes de sal primeiro, e isso tornaria um ataque de dicionário bastante inútil. Sal não afeta a senha em si, então você deve sempre escolher uma senha difícil de adivinhar.
Conclusão
O MD5 é um dos muitos métodos diferentes para identificar, proteger e verificar dados. O hashing criptográfico é um capítulo vital na história da segurança e mantém as coisas ocultas. Tal como acontece com muitas coisas projetadas com a segurança em mente, alguém se foi e quebrou.
Você provavelmente não terá que se preocupar muito com hash e checksums MD5 em seus hábitos de navegação diários, mas pelo menos agora você sabe o que eles fazem e como eles fazem isso.
Já precisou haxear alguma coisa? Você verifica os arquivos que você baixou? Você conhece algum bom aplicativo web MD5? Deixe-nos saber nos comentários!
Imagem da Intro: Shutterstock