MD6 — алгоритм хеширования переменной разрядности, разработанный профессором Рональдом Ривестом из Массачусетского Технологического Института в сентябре 2008 года. Предназначен для создания «отпечатков» или дайджестов сообщений произвольной длины. Предлагается на смену менее совершенному MD5. По заявлению авторов, алгоритм устойчив к дифференциальному криптоанализу. Зная MD6, невозможно восстановить входное сообщение, так как разным сообщениям может соответствовать один MD6. Используется для проверки подлинности опубликованных сообщений, путем сравнения дайджеста сообщения с опубликованным. Эту операцию называют «проверка хеша» (hashcheck).

http://www.picamatic.com/show/2008/11/30/07/36/1460953_192x278.jpg

Предшественница (MD5) была создана в 1991 году, когда частоты обычных процессоров были не больше 33MHz. Она должна была отображать двоичную строку произвольной длины в строку размером d, быть устойчивой к коллизиям, нахождению прообразов и быть псевдослучайной.
После ее взлома, американский институт стандартов и технологий (NIST), объявил конкурс на создание хэш-функции SHA-3.
Новая функция MD6 предполагается доказуемо устойчивой к дифференциальному криптоанализу (с помощью которого была взломана MD5).
Разработчики использовали оригинальные идеи в дизайне хэш-функции. Так, размер обрабатываемого за один раз блока данных будет 512 байт (а не бит), что затрудняет проведение многих атак, даёт выигрыш в распараллеливании.

В разработке вместо традиционного дизайна Дамгарда-Меркла исползовалось сжатие при помощи древовидных структур. В узле каждого дерева находится сжимающая функция 4-1 (аналог деревьев Меркла с мини-функциями сжатия). Для малых процессоров вместо иерархической структуры деревьев, может использоваться последовательная.
MD6 поддерживает также хэширование с ключем 512-бит. Различные конструктивные особенности (нумерация узлов деревьев, root и z-биты на входе в подфункции) защищают функцию от атак вставок и расширения. Нелинейность функции достигается использованием всего трёх простейших операций: XOR, сложение и сдвиг с константами.

Количество раундов функции необычно велико:r = 40 + (d / 4). Так для 256 выхода потребуется 104 раунда, а для 512 – 168 раундов! При этом MD6-512 медленнее в полтора раза, чем SHA2-512 на 32-битных платформах и почти в четыре раза на 6

http://habrahabr.ru/blogs/infosecurity/45849/
© 2006—2008 «Тематические Медиа»

А теперь вопрос когда будет расшифровчик?

разным сообщениям может соответствовать один MD6

Как бл*дь теперь брутить ?((((((((

А теперь вопрос когда будет расшифровчик?
думается брут будет актуален
Как бл*дь теперь брутить ?((((((((
это ж хорошо когда подходит не один пароль)

http://groups.csail.mit.edu/cis/md6/

Так, размер обрабатываемого за один раз блока данных будет 512 байт (а не бит)

это жестоко идея будет не очень удачной

да !ето печально!

вот уже вижу тему расшифрока MD6 ))

так как разным сообщениям может соответствовать один MD6.

А разве это не коллизия?

она самая) чето они намудрили

А теперь вопрос когда будет расшифровчик?
Никогда не было и никогда не будет. Функция не обратима, но ее можно перебрать. По-моему так.
А разве это не коллизия?
Вот вот. Я хоть в этом не очень понимаю, но по-моему она родимая.

А когда она уже будет внедрена ? а то только появилась - не думаю что сразу везде она будет !

Интересно как быстро он будет принят на вооружение...
P.S. MD(Unix) и так заглаза пока хватает...

мне кажется, что именно эта вообще никогда принята на вооружение не будет. Дорабатывать будутт...

От md5 никуда не деться, итак в нем добротная половина паролей хранится. (по крайне-мере в веб) Так-что пхп кодеры скоро начнут замечать в проектах с историей что-то типа md6(md5($password)); Для совместимости =)

Вижу, что никому эта идея не понравилась...

как там насчет PHP библиотеки для никсов

Vot fuck :(

-=lebed=- уже точит ножи на новые хэшики.... :):):)

ЧТо там насчёт распределённых вычислений :), это мне по душе, это я понимаю , брутить с помощью Beowulf систем будем, я к этому готов)) у меня такая есть и немаленькая

Мд5 пока что еще никто не сломал, так что думаю мд6 тоже никто не сломает. Так что будем брутить, товарищи, как и брутили, только теперь на одну галочку в брутерах больше. Ждем новых функций в php и С#... Интересно, а в Delphi когда нибуть будет... Там и мд5 была проблемой...

От md5 никуда не деться, итак в нем добротная половина паролей хранится. (по крайне-мере в веб) Так-что пхп кодеры скоро начнут замечать в проектах с историей что-то типа md6(md5($password)); Для совместимости =)
скорее: md5 (md6(pass)), потому что md5 не повторяемый)

я думаю коллизия єто минус md6.. представте..: поставили ви пасс: akjshdkh1h91hdashd...[много_символов]....js18shd98(*Y12hjah и єго md6 == md6('1')..
:(

Интересно, а в Delphi когда нибуть будет... Там и мд5 была проблемой...
http://www.torry.net/pages.php?id=519
или: http://www.xs4all.nl/~gnista/KeePass/src/md5.pas

eLWAux,

потому что md5 не повторяемый)

ещё как повторяемый.

http://www.insidepro.com/doc/md5.pdf

http://www.xakep.ru/post/28753/default.asp

О_о уже в википедии есть имфа про мд6 (:

Интерсно будет мд7 :)

скоро будем просто заходить в админку сайта по отпечатку пальца и скану сетчатки, никакие бруты не помогут

скоро будем просто заходить в админку сайта по отпечатку пальца и скану сетчатки, никакие бруты не помогут

тогда все админы будут однорукие пираты :))))

Нет, тогда будем брутить с помощью толпы китайцев :)

Интересный факт, согласно википедии:
Дифференциальный криптоанализ предложен в 1990 г.
а md5 разработан в 1991 г.

Т.е. к моменту создания md5 уже был уязвим. Несмотря на это 17 лет прожил и еще неизвестно сколько проживет.

Судя по фразе:
Зная MD6, невозможно восстановить входное сообщение, так как разным сообщениям может соответствовать один MD6
мне кажется, что md6 все-таки некоторый промежуточный вариант.

мне кажется, что md6 все-таки некоторый промежуточный вариант.
И что же будет дальше?

Наши и тут найдут точку колизей и все будет окей))

Новая функция MD6 предполагается доказуемо устойчивой к дифференциальному криптоанализу (с помощью которого была взломана MD5).
КТо взломал MD5,?

md5 брутят на видеокарте nVidia, md6 будут брутить на новой видеокарте nVidia или на двух видеокартах nVidia. md7, которого еще нет, тоже будут брутить на чем нибудь.

о возрадуйтесь, сервачные системы и крупные корпорации! (с)

КТо взломал MD5,?
Некто Властимил Клима

Вроде ещё каких-то успехов добивались китайцы, но они
ничего не публиковали о своих методах.

А чё всех так переполошила вот эта строка? Это же справедливо для любых хеш-функций.Зная MD6, невозможно восстановить входное сообщение, так как разным сообщениям может соответствовать один MD6.

хм, действительно может... я думал иначе
т.е. 2 разных пароля=один хеш? :confused:

В мд5 каждый хэш уникален, и разным сообщениям не может соответствовать один мд5

Насколько я знаю - может соответствовать.

хм, действительно может... я думал иначе
т.е. 2 разных пароля=один хеш? :confused: Угу, а как ты иначе спроецируешь бесконечное множество на конечное?

Входящие данные имеют неограниченый размер, а исходящие всегда 32 символа, 16 значений у каждого символа (для md5), ясно что будет бесконечное число возможных пересечений.

Летом 2004 была обнаружена уязвимость MD5. Было выяснено, что, зная оригинальное сообщение, можно создать сообщение, которое будет иметь тот же хеш-код. Это значит, что в теории надёжность электронной подписи MD5 ставится под сомнение, поскольку можно создать документ с другим содержимым, но с такой же подписью. На практике, конечно, дела обстоят не так страшно — новое сообщение будет состоять из произвольных символов (абракадабры), которые ни при каких условиях с нормальным текстом спутать невозможно.
Для хранения паролей эта уязвимость вообще не имеет никакого значения, поскольку, чтобы подобрать псевдопароль, нам уже нужно знать оригинальный пароль.

То что про мд6 написано что разные сообщения имеют один дайджест полная чушь, поскольку одно из основных свойст хэш-функции: для любого фиксированного х с вычислительной точки зрения невозможно найти х' ≠ х такое, что Н(x’) = Н(х). Последнее свойство гарантирует отсутствие другого сообщения, дающего ту же свертку, что предотвращает подделку и позволяет использовать Н в качестве криптографической контрольной суммы для проверки целостности. Мы ведь не думаем что Ривест ошибся? ))))

То что про мд6 написано что разные сообщения имеют один дайджест полная чушь, поскольку одно из основных свойст хэш-функции: для любого фиксированного х с вычислительной точки зрения невозможно найти х' ≠ х такое, что Н(x’) = Н(х). Последнее свойство гарантирует отсутствие другого сообщения, дающего ту же свертку, что предотвращает подделку и позволяет использовать Н в качестве криптографической контрольной суммы для проверки целостности. Мы ведь не думаем что Ривест ошибся? ))))
Т.е. ты хочешь нам сказать, что мд6 - это просто универсальный мегаархиватор, который способен сжимать ЛЮБОЕ кол-во информации до строчки длинною в 32 символа? ппц... по-моему, и ты и я просто не правильно поняли смысл выражения "х' ≠ х такое, что Н(x’) = Н(х)"

ключевые слова там "c вычислительной точки зрения..." естественно коллизии есть и возможны, но вот вычислить коллизию для конкретного х на данном этапе развития вычислительных технологий не представляется возможным. С другой стороны сама коллизия для любой пары Хj и Хi возможна с большей вероятностью и она растёт при большом количестве попарных сравнений хэшей от произвольной пары Хj и Хi. Для мд5 такая первая пара любых разных сообщений находится уже за 30 сек. на обычном компе, после начала работы генератора коллизий.

честно - да хоть md1000 пусть придумают, все равно я легко узнаю что там за слово или набор букв.

честно - да хоть md1000 пусть придумают, все равно я легко узнаю что там за слово или набор букв.
О_о
Дэвид Блейн?
p.s.: флаг те в руки.

Дэвид Блейн?
Хых))

писец нашли что апнуть.....)

Хахаха, как киддисы переполошились-то сразу.

Вообще-то существует алгоритм расшифровки MD5 но он стоит огромных денег, так что будет что-то подобное и с MD6

Вообще-то существует алгоритм расшифровки MD5 но он стоит огромных денег, так что будет что-то подобное и с MD6
А мне кажется он бы утёк в паб

Могу поспорить что после официального выхода мд6, в течении 30 дней найдутся энтузиасты которые напишут под него брутер. Какой бы ни был алгоритм, как использовали, используют и будут использовать пассы типа qwerty или 123456 и т.п
ИМХО понту от этого мд6, его не надолго хватит. Все равно багов в скриптах хватает, и править таблицы Мускула никто не запрещает)

Могу поспорить что после официального выхода мд6, в течении 30 дней найдутся энтузиасты которые напишут под него брутер. Какой бы ни был алгоритм, как использовали, используют и будут использовать пассы типа qwerty или 123456 и т.п
ИМХО понту от этого мд6, его не надолго хватит. Все равно багов в скриптах хватает, и править таблицы Мускула никто не запрещает)
Проблема будет в другом - время то на перебор многократно увеличиться по сравнению с md5

Проблема будет в другом - время то на перебор многократно увеличиться по сравнению с md5
Проблемы нет. Ресурсы растут с каждым днем. Сами алгоритмы требуют достаточных ресурсов.
Каждый квартал выходят процы, видухи и оперативы на порядок выше. Можно сказать что практически все пропорционально развивается.
Появляются стойкие алгоритмы а за ними железо которое справится с ними.

Появляются стойкие алгоритмы а за ними железо которое справится с ними.
Железо развивается не так быстро (какая разница, что пароль будут брутить 40 лет или 8 лет, пассы то могут поменяться), да и последние железки не каждый может себе позволить. А к тому времени выйдет md7 или что то подобное, что уже простым перебором хакнуть не получиться :(

Распределенные вычисления, китайцы нам помогут))))
Толку трепаться , выйдет мд6 пощупаем, тогда будем обсуждать.
Вопрос в том на сколько он быстрее /медленнее будет. Да и софт переписать под мд6 тоже времени нужно. К этому времени на горизонте будет мд7 и в этой ветке будет новая тема хэш-функция MD7. ))))

ну и хрен что разным пассам один хеш - брутить хеш, потом по списку полученных пассов... захита на 1 палец об асфальт сложнее.

думаю толку то будет не много... ну сунут по 50 пассов на 1 хеш... сбрутишь ты эти 50 пассов... вручную подберёшь нужный...

НАфига, чё иму ни имётся..