nicht angemeldet
Hi,
Weil für MD5 nun mal nicht nur theoretisch, sondern auch praktisch bewiesen wurde, dass man heute schon unter gewissen Umständen Kollisionen berechnen kann. Allein diese Tatsache sollte einen davor zurückschrecken lassen, MD5 noch ernsthaft für Sicherheitsdinge einzusetzen.
Beim Thema Passworte in DB ist sowohl der theoretische Beweis als auch der praktische Beweis völlig egal. Hier nützt das nichts, erst recht nicht wenn man das doppelt macht, md5(md5()). Ich könnte mir also kein Szenario vorstellen wo irgendein anderer Algorithmus da einen Vorteil haben könnte.
Klar kann man immer argumentieren, dass die praktisch demonstrierten Angriffe ja ein ganz anderes Szenario abbilden, welches für die eigene Sicherheitsfrage irrelevant ist.
Genau und mit eigene, beziffere ich mal den typischen Fall wo md5 eingesetzt wird, eben Passworte und sicherheitsunrelavante Sachen wie Dateinamen generieren usw...
Als Gegenfrage bleibt da eigentlich nur: Wenn du die Wahl hast zwischen einem schon recht angegriffenen und bröckeligen Algorithmus wie MD5, und nach derzeitiger Kenntnis noch sehr robusten Algorithmen wie SHA1, SHA-256 etc., warum würdest du freiwillig den bröckeligen wählen wollen?
Ganz klare Antwort, das was am häufigsten zur Verfügung steht und meine Arbeiten somit transportabler machen. Natürlich nur solange sich die MD5-Anwendungen auf die Üblichen, also bereits genannten, belaufen.
Diese Ignoranz gegenüber den theoretisch demonstrierten Angriffen hat es ermöglicht, dass der praktische Angriff bei den SSL-Zertifikaten tatsächlich durchgeführt werden konnte.
Ja, wer solche Zertifikate rausgibt und so fahrlässig handelt, ist schon ignorant zumal eine DOPPEL-MD5 vollkommen ausgreicht hätte das zu verhindern, und der chronologische Aufbau der original IDs ist auch gerade zu lächerlich gewesen das weiss schon jeder Laien-DB-Anwender, wenn er seine Daten nicht grabben lassen will. Aber der normale Webseitenersteller hat damit nichts zu tun, du baust dir ja auch keine Formel1-Sicherheits-Technik ins Auto, weil es ignorant wäre, es nicht zu tun?
Mario