MD5 和SHA-1的強抗碰撞性不是早已被王小雲教授攻破了嗎，為什麼現在仍然在使用？

01-03

另外，只有MD5被發現有缺陷。SHA-1還是安全的。

md5現在最好是不要用了，在pc上幾秒就可以找到碰撞。這是個快速md5碰撞程序。http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

其實，哈希函數本質上就是把無限的信息映射到有限的空間中。無論摘要用多少個比特存儲，終究是有限的。那麼就必然存在碰撞的情況。所以，哈希演算法的安全性，其實就在於人為製造碰撞的難易程度了。

登錄密碼這樣的場景，找到碰撞基本就等於攻破了。但是有些場景，找到碰撞跟攻破不一樣，即使找到了也很難使用。比如你給一個可執行文件A，做MD5得到結果B,另一個人拿到A,跟B，想向A中注入惡意代碼，但是其MD5值還是B，以達到神不知鬼不覺入侵的目的。這個比較難，因為即使可以在可接受的時間內算出一個碰撞C，其MD5仍然是B,但是要保證C等於A加惡意代碼加上其餘一些佔位信息目前來看基本很難。。也就是說要保證找到的碰撞還具有某些規定的意義，在很多情況下很難。所以MD5在某些文件驗證上還在用。

LS的很多都不了解碰撞對hash演算法而言是多麼嚴重的問題。

還不可逆，我就說一句：今天新聞是一個steam零售key網站爆出md5密碼的問題，導致9000萬key和300萬用戶資料泄漏。

用md5之類的簡單hash存儲密碼，對黑客而言就和明文一樣，原因在於只要計算出md5提交給網站，那就一切暢通無阻，這符合hash的一對一原則嗎？

ps 提問是2011年，那時候破解方法已經多如牛毛了，只是沒有民用硬體。

現在，家用pc機輕鬆+愉快。

王小雲通過對函數MD5和SHA-1的研究發現，不同的數據能夠產生相同的

Hash值，也就是說，可以找到兩份具有相同數字手印的不同電子文件。

只是理論上證明有可能碰撞，要找出碰撞實例來需要幾年才可以找到。

所以實踐上要用還差得遠呢。

破解的說法也有點不太嚴密。

雖然過去了這麼多年，看到了還是忍不住回一條 @祁健

hash有碰撞這件事大家都知道的……也不用誰特意去證明吧……問題在於強抗碰撞性！

就是說給出一個hash，攻擊者可以（在合理的時間內）（有效地）找到一個數據使得其hash等於給定的hash……

王教授的工作是提出了比之前的演算法更加高效的碰撞尋找方法（用上了差分分析等等一大堆技術…反正我猜我聽不懂，沒法解釋）那為啥還在用呢……因為有這個演算法基礎上破解也不會很快……

MD5碰撞的尋找還要好幾個小時……（好像也不長就是了……）而且很多時候攻擊者也不好辦啊……需要找到能滿足特定功能的明文才能實現攻擊……（比如說想要改動下載站的軟體）（雖然說在後面嵌入一段無效信息盡情地改就好了……）而且還有很多別的限制。比如說即使找到了碰撞卻黑不進去下載站又能怎麼辦啊……

而且王教授對sha1做到了什麼地步我記不太清了……不過有的話似乎也沒有尋找MD5碰撞那麼塊……

不過 @turing 提到的那一條並不是破解演算法上的突破……目前尋找MD5碰撞也沒有那麼快……@turing 提到的那個碰撞構造方式是利用了一個常用密鑰的hash的字典……如果不是常見密鑰或者是加salt密鑰應該就沒有那麼快了……

QwQ總覺得還有什麼想說的……………………

算了……收拾收拾趕作業去了…………

MD5破解的論文的題目是「How to break md5 and other hash functions」（如何破解MD5和其它哈希函數）。這篇論文獲得了2004年歐密會的最佳論文呢。所以「破解」這個概念是對的，國際上認可的。

現在已經被電腦幾分鐘輕鬆破解了，最好換更安全的。而且現在md5已經強到可以精心構造一個病毒程序使得md5和原來的程序一樣。

時至今日，CPU性能大大提高，能夠被短時間的碰撞破解SHA1已經被認為是不安全的演算法，但是有很多程序是很早的寫的，嚴格來說，安全性大打折扣。取決於用戶對安全性的要求。

為啥！

理論上講md5和sha1算出來的東西不可逆，不代表這個東西是唯一的，md5加密和sha1加密有個證明邏輯就是生產出來的數字簽名是唯一的，而王小雲教授就是證明了這個數字簽名不是唯一的，對於一般民用和公司級別的演算法可以不費周章，因為沒有哪個國家情報機構會傻到為了100塊去花10000塊，隨意要是在要命的核心部門那就要命了！

只是碰撞，談不上破解。哈希演算法本身就是不可逆的，不過可以預先儲存再從資料庫獲取。現在md5和sha1都有在線解密的網站，看看http://www.ttmd5.com就知道了