Новая хэш-функция MD6
 

MD6 — алгоритм хеширования переменной разрядности, разработанный профессором Рональдом Ривестом из Массачусетского Технологического Института в сентябре 2008 года. Предназначен для создания «отпечатков» или дайджестов сообщений произвольной длины. Предлагается на смену менее совершенному MD5. По заявлению авторов, алгоритм устойчив к дифференциальному криптоанализу. Зная MD6, невозможно восстановить входное сообщение, так как разным сообщениям может соответствовать один MD6. Используется для проверки подлинности опубликованных сообщений, путем сравнения дайджеста сообщения с опубликованным. Эту операцию называют «проверка хеша» (hashcheck).


Предшественница (MD5) была создана в 1991 году, когда частоты обычных процессоров были не больше 33MHz. Она должна была отображать двоичную строку произвольной длины в строку размером d, быть устойчивой к коллизиям, нахождению прообразов и быть псевдослучайной.
После ее взлома, американский институт стандартов и технологий (NIST), объявил конкурс на создание хэш-функции SHA-3.
Новая функция MD6 предполагается доказуемо устойчивой к дифференциальному криптоанализу (с помощью которого была взломана MD5).
Разработчики использовали оригинальные идеи в дизайне хэш-функции. Так, размер обрабатываемого за один раз блока данных будет 512 байт (а не бит), что затрудняет проведение многих атак, даёт выигрыш в распараллеливании.

В разработке вместо традиционного дизайна Дамгарда-Меркла исползовалось сжатие при помощи древовидных структур. В узле каждого дерева находится сжимающая функция 4-1 (аналог деревьев Меркла с мини-функциями сжатия). Для малых процессоров вместо иерархической структуры деревьев, может использоваться последовательная.
MD6 поддерживает также хэширование с ключем 512-бит. Различные конструктивные особенности (нумерация узлов деревьев, root и z-биты на входе в подфункции) защищают функцию от атак вставок и расширения. Нелинейность функции достигается использованием всего трёх простейших операций: XOR, сложение и сдвиг с константами.

Количество раундов функции необычно велико:r = 40 + (d / 4). Так для 256 выхода потребуется 104 раунда, а для 512 – 168 раундов! При этом MD6-512 медленнее в полтора раза, чем SHA2-512 на 32-битных платформах и почти в четыре раза на 6

http://habrahabr.ru/blogs/infosecurity/45849/
© 2006—2008 «Тематические Медиа»

А теперь вопрос когда будет расшифровчик?

Как бл*дь теперь брутить ?((((((((

думается брут будет актуален
это ж хорошо когда подходит не один пароль)

http://groups.csail.mit.edu/cis/md6/

это жестоко идея будет не очень удачной

да !ето печально!

вот уже вижу тему расшифрока MD6 ))

А разве это не коллизия?

она самая) чето они намудрили

Никогда не было и никогда не будет. Функция не обратима, но ее можно перебрать. По-моему так.
Вот вот. Я хоть в этом не очень понимаю, но по-моему она родимая.

А когда она уже будет внедрена ? а то только появилась - не думаю что сразу везде она будет !

Интересно как быстро он будет принят на вооружение...
P.S. MD(Unix) и так заглаза пока хватает...

мне кажется, что именно эта вообще никогда принята на вооружение не будет. Дорабатывать будутт...

От md5 никуда не деться, итак в нем добротная половина паролей хранится. (по крайне-мере в веб) Так-что пхп кодеры скоро начнут замечать в проектах с историей что-то типа md6(md5($password)); Для совместимости =)

Вижу, что никому эта идея не понравилась...

как там насчет PHP библиотеки для никсов

Vot fuck :(

-=lebed=- уже точит ножи на новые хэшики.... :):):)

ЧТо там насчёт распределённых вычислений :), это мне по душе, это я понимаю , брутить с помощью Beowulf систем будем, я к этому готов)) у меня такая есть и немаленькая

Мд5 пока что еще никто не сломал, так что думаю мд6 тоже никто не сломает. Так что будем брутить, товарищи, как и брутили, только теперь на одну галочку в брутерах больше. Ждем новых функций в php и С#... Интересно, а в Delphi когда нибуть будет... Там и мд5 была проблемой...

скорее: md5 (md6(pass)), потому что md5 не повторяемый)

я думаю коллизия єто минус md6.. представте..: поставили ви пасс: akjshdkh1h91hdashd...[много_символов]....js18shd98(*Y12hjah и єго md6 == md6('1')..
:(

http://www.torry.net/pages.php?id=519
или: http://www.xs4all.nl/~gnista/KeePass/src/md5.pas

eLWAux,

ещё как повторяемый.

http://www.insidepro.com/doc/md5.pdf

http://www.xakep.ru/post/28753/default.asp

скоро будем просто заходить в админку сайта по отпечатку пальца и скану сетчатки, никакие бруты не помогут

тогда все админы будут однорукие пираты :))))

Нет, тогда будем брутить с помощью толпы китайцев :)

Интересный факт, согласно википедии:
Дифференциальный криптоанализ предложен в 1990 г.
а md5 разработан в 1991 г.

Т.е. к моменту создания md5 уже был уязвим. Несмотря на это 17 лет прожил и еще неизвестно сколько проживет.

Судя по фразе:
мне кажется, что md6 все-таки некоторый промежуточный вариант.

И что же будет дальше?

Наши и тут найдут точку колизей и все будет окей))

Новая функция MD6 предполагается доказуемо устойчивой к дифференциальному криптоанализу (с помощью которого была взломана MD5).
КТо взломал MD5,?

md5 брутят на видеокарте nVidia, md6 будут брутить на новой видеокарте nVidia или на двух видеокартах nVidia. md7, которого еще нет, тоже будут брутить на чем нибудь.

о возрадуйтесь, сервачные системы и крупные корпорации! (с)

Некто Властимил Клима

Вроде ещё каких-то успехов добивались китайцы, но они
ничего не публиковали о своих методах.

А чё всех так переполошила вот эта строка? Это же справедливо для любых хеш-функций.

хм, действительно может... я думал иначе
т.е. 2 разных пароля=один хеш? :confused:

Насколько я знаю - может соответствовать.

Угу, а как ты иначе спроецируешь бесконечное множество на конечное?

Входящие данные имеют неограниченый размер, а исходящие всегда 32 символа, 16 значений у каждого символа (для md5), ясно что будет бесконечное число возможных пересечений.

Летом 2004 была обнаружена уязвимость MD5. Было выяснено, что, зная оригинальное сообщение, можно создать сообщение, которое будет иметь тот же хеш-код. Это значит, что в теории надёжность электронной подписи MD5 ставится под сомнение, поскольку можно создать документ с другим содержимым, но с такой же подписью. На практике, конечно, дела обстоят не так страшно — новое сообщение будет состоять из произвольных символов (абракадабры), которые ни при каких условиях с нормальным текстом спутать невозможно.
Для хранения паролей эта уязвимость вообще не имеет никакого значения, поскольку, чтобы подобрать псевдопароль, нам уже нужно знать оригинальный пароль.

То что про мд6 написано что разные сообщения имеют один дайджест полная чушь, поскольку одно из основных свойст хэш-функции: для любого фиксированного х с вычислительной точки зрения невозможно найти х' ≠ х такое, что Н(x’) = Н(х). Последнее свойство гарантирует отсутствие другого сообщения, дающего ту же свертку, что предотвращает подделку и позволяет использовать Н в качестве криптографической контрольной суммы для проверки целостности. Мы ведь не думаем что Ривест ошибся? ))))