Propaganda
Em um artigo recente sobre como verificar se você estava afetado pelo incidente de hackers de Gawker Como descobrir se o seu endereço de e-mail vazou no banco de dados do Gawker consulte Mais informação , uma das etapas envolvidas na conversão do seu endereço de email em um hash MD5.
Tivemos algumas perguntas dos leitores perguntando exatamente o que estava acontecendo e por que esse processo era necessário. Não é nosso estilo deixar vocês fazendo perguntas, então aqui está uma lista completa do MD5, hash e uma pequena visão geral de computadores e criptografia.
Hashing criptográfico
MD5 significa Message Do algoritmo igest 5, e foi inventado pelo célebre criptógrafo norte-americano Professor Ronald Rivest em 1991 para substituir o antigo padrão MD4. MD5 é simplesmente o nome de um tipo de função de hash criptográfico que Ron criou, já em 91.
A idéia por trás do hash criptográfico é pegar um bloco de dados arbitrário e retornar um valor "hash" de tamanho fixo. Pode ser qualquer dado, de qualquer tamanho, mas o valor do hash será sempre fixo. Experimente você mesmo aqui.
O hash criptográfico tem vários usos e há um grande número de algoritmos (exceto o MD5) projetados para executar um trabalho semelhante. Um dos principais usos do hash criptográfico é verificar o conteúdo de uma mensagem ou arquivo após a transferência.
Se você já baixou um arquivo particularmente grande (Linux distribuições, esse tipo de coisa), você provavelmente notou o valor do hash que o acompanha. Após o download deste arquivo, você pode usar o hash para verificar se o arquivo que você baixou não é diferente do arquivo anunciado.
O mesmo método funciona para mensagens, com o hash verificando se a mensagem recebida corresponde à mensagem enviada. Em um nível muito básico, se você e um amigo têm um arquivo grande cada um e desejam verificar se são exatamente iguais sem a transferência pesada, o código hash fará isso por você.
Os algoritmos de hash também desempenham um papel na identificação de dados ou arquivos. Um bom exemplo disso é redes de compartilhamento de arquivos ponto a ponto, como o eDonkey2000. O sistema usou uma variante do algoritmo MD4 (abaixo), que também combinou o tamanho do arquivo em um hash para apontar rapidamente para os arquivos na rede.
Um exemplo de assinatura disso é a capacidade de encontrar rapidamente dados em tabelas de hash, um método comumente usado pelos mecanismos de pesquisa.
Outro uso para hashes está no armazenamento de senhas. Armazenar senhas como texto não criptografado é uma má idéia, por razões óbvias; portanto, elas são convertidas em valores de hash. Quando um usuário digita uma senha, ela é convertida em um valor de hash e comparada com o hash armazenado conhecido. Como o hash é um processo unidirecional, desde que o algoritmo seja correto, teoricamente há poucas chances de a senha original ser decifrada a partir do hash.
O hash criptográfico também é frequentemente usado na geração de senhas e senhas derivadas de uma única frase.
Algoritmo Message Digest 5
A função MD5 fornece um número hexadecimal de 32 dígitos. Se transformarmos 'makeuseof.com' em um valor de hash MD5, seria semelhante a: 64399513b7d734ca90181b27a62134dc. Foi construído com base em um método chamado Merkle ”“ Damgà ª estrutura (abaixo), usado para criar o que é conhecido como funções de hash "à prova de colisão".
Nenhuma segurança é à prova de tudo, no entanto, e em 1996 foram encontradas falhas em potencial no algoritmo de hash MD5. Na época, eles não eram vistos como fatais e o MD5 continuava sendo usado. Em 2004, um problema muito mais sério foi descoberto depois que um grupo de pesquisadores descreveu como fazer dois arquivos separados compartilharem o mesmo valor de hash MD5. Essa foi a primeira instância de um ataque de colisão sendo usado contra o algoritmo de hash MD5. Um ataque de colisão tenta encontrar duas saídas arbitrárias que produzem o mesmo valor de hash - portanto, uma colisão (dois arquivos existentes com o mesmo valor).
Nos anos seguintes, tentativas de encontrar mais problemas de segurança no MD5 ocorreram e em 2008 outro grupo de pesquisa conseguiu usar o método de ataque de colisão para falsificar Certificado SSL validade. Isso pode levar os usuários a pensar que estão navegando com segurança, quando não estão. O Departamento de Segurança Interna dos EUA anunciado naquela: "os usuários devem evitar o uso do algoritmo MD5 em qualquer capacidade. Como a pesquisa anterior demonstrou, ela deve ser considerada criptograficamente quebrada e inadequada para uso posterior“.
Apesar do aviso do governo, muitos serviços ainda usam o MD5 e, como tal, estão tecnicamente em risco. No entanto, é possível "saltar" senhas, para impedir que invasores em potencial usem ataques de dicionário (testando palavras conhecidas) contra o sistema. Se um hacker tiver uma lista de senhas aleatórias usadas com frequência e o banco de dados da sua conta de usuário, poderá verificar os hashes no banco de dados em relação aos da lista. Salt é uma sequência aleatória, vinculada a hashes de senha existentes e, em seguida, hash novamente. O valor de sal e o hash resultante são armazenados no banco de dados.
Se um hacker quisesse descobrir as senhas de seus usuários, ele precisaria decifrar os hashes de sal primeiro, e isso tornaria um ataque de dicionário bastante inútil. O Salt não afeta a senha em si; portanto, você deve sempre escolher uma senha difícil de adivinhar.
Conclusão
O MD5 é um dos muitos métodos diferentes de identificação, proteção e verificação de dados. O hash criptográfico é um capítulo vital na história da segurança e mantém as coisas ocultas. Como acontece com muitas coisas projetadas com a segurança em mente, alguém se estragou.
Você provavelmente não precisará se preocupar muito com hash e somas de verificação MD5 em seus hábitos diários de navegação, mas pelo menos agora você sabe o que eles fazem e como o fazem.
Já precisou de hash alguma coisa? Você verifica os arquivos que você baixa? Você conhece algum bom aplicativo da web MD5? Deixe-nos saber nos comentários!
Imagem de introdução: Shutterstock
Tim é um escritor freelancer que vive em Melbourne, na Austrália. Você pode segui-lo no Twitter.
