MD5

Algoritmo hash de resumen de mensajes

El algoritmo de resumen de mensajes MD5 es una función hash ampliamente utilizada que produce un valor hash de 128 bits . MD5 fue diseñado por Ronald Rivest en 1991 para reemplazar una función hash anterior , MD4 , ^[3] y se especificó en 1992 como RFC 1321.

MD5 se puede utilizar como suma de comprobación para verificar la integridad de los datos contra la corrupción no intencionada. Históricamente se ha utilizado ampliamente como función hash criptográfica ; sin embargo, se ha descubierto que sufre de vulnerabilidades extensas. Sigue siendo adecuado para otros fines no criptográficos, por ejemplo, para determinar la partición de una clave particular en una base de datos particionada , y puede ser preferible debido a los menores requisitos computacionales que los algoritmos de hash seguro más recientes . ^[4]

Historia y criptoanálisis

MD5 es uno de los algoritmos de resumen de mensajes diseñados por el profesor Ronald Rivest del MIT (Rivest, 1992). Cuando el trabajo analítico indicó que el predecesor de MD5, MD4, probablemente no sería seguro, Rivest diseñó MD5 en 1991 como un reemplazo seguro. ( Hans Dobbertin efectivamente encontró más tarde debilidades en MD4).

En 1993, Den Boer y Bosselaers dieron un resultado temprano, aunque limitado, al encontrar una " pseudocolisión " de la función de compresión MD5 ; es decir, dos vectores de inicialización diferentes que producen un resumen idéntico.

En 1996, Dobbertin anunció una colisión de la función de compresión de MD5 (Dobbertin, 1996). Si bien no se trató de un ataque a la función hash MD5 completa, fue lo suficientemente cercano como para que los criptógrafos recomendaran cambiar a un reemplazo, como SHA-1 (también comprometido desde entonces) o RIPEMD-160 .

El tamaño del valor hash (128 bits) es lo suficientemente pequeño como para contemplar un ataque de cumpleaños . MD5CRK fue un proyecto distribuido que comenzó en marzo de 2004 para demostrar que MD5 es prácticamente inseguro al encontrar una colisión mediante un ataque de cumpleaños.

MD5CRK finalizó poco después del 17 de agosto de 2004, cuando Xiaoyun Wang , Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron colisiones para el MD5 completo. ^{[5] [6]} Se informó que su ataque analítico tomó solo una hora en un clúster IBM p690 . ^[7]

El 1 de marzo de 2005, Arjen Lenstra , Xiaoyun Wang y Benne de Weger demostraron la construcción de dos certificados X.509 con claves públicas diferentes y el mismo valor hash MD5, una colisión demostrablemente práctica. ^[8] La construcción incluía claves privadas para ambas claves públicas. Unos días después, Vlastimil Klima describió un algoritmo mejorado, capaz de construir colisiones MD5 en unas pocas horas en una sola computadora portátil. ^[9] El 18 de marzo de 2006, Klima publicó un algoritmo que podía encontrar una colisión en un minuto en una sola computadora portátil, utilizando un método que él llama tunelización. ^[10]

Se han publicado varias erratas de RFC relacionadas con MD5 . En 2009, el Comando Cibernético de los Estados Unidos utilizó un valor hash MD5 de su declaración de misión como parte de su emblema oficial. ^[11]

El 24 de diciembre de 2010, Tao Xie y Dengguo Feng anunciaron la primera colisión MD5 de un solo bloque (512 bits) publicada. ^[12] (Los descubrimientos de colisiones anteriores se habían basado en ataques de múltiples bloques). Por "razones de seguridad", Xie y Feng no revelaron el nuevo método de ataque. Lanzaron un desafío a la comunidad criptográfica, ofreciendo una recompensa de 10.000 dólares estadounidenses al primer descubridor de una colisión de 64 bytes diferente antes del 1 de enero de 2013. Marc Stevens respondió al desafío y publicó los mensajes de un solo bloque en colisión, así como el algoritmo de construcción y las fuentes. ^[13]

En 2011 se aprobó un RFC 6151 informativo ^{[14] para actualizar las consideraciones de seguridad en MD5 [15]} y HMAC-MD5. ^[16]

Seguridad

Un requisito básico de cualquier función hash criptográfica es que no sea factible desde el punto de vista computacional encontrar dos mensajes distintos que generen el mismo valor. MD5 no cumple este requisito de manera catastrófica. El 31 de diciembre de 2008, el Instituto de Ingeniería de Software de la CMU concluyó que MD5 estaba esencialmente "criptográficamente dañado y no era adecuado para su uso posterior". ^[17] Las debilidades de MD5 han sido explotadas en el campo, la más infame fue con el malware Flame en 2012. A partir de 2019 ^[actualizar], MD5 sigue siendo ampliamente utilizado, a pesar de sus debilidades bien documentadas y su desuso por parte de los expertos en seguridad. ^[18]

Existe un ataque de colisión que puede encontrar colisiones en cuestión de segundos en una computadora con un procesador Pentium 4 de 2,6 GHz (complejidad de 2 ^24,1 ). ^[19] Además, también existe un ataque de colisión de prefijo elegido que puede producir una colisión para dos entradas con prefijos específicos en cuestión de segundos, utilizando hardware informático estándar (complejidad de 2 ³⁹ ). ^{[20] La capacidad de encontrar colisiones se ha visto enormemente facilitada por el uso de} GPU estándar . En un procesador gráfico NVIDIA GeForce 8400GS, se pueden calcular entre 16 y 18 millones de hashes por segundo. Una NVIDIA GeForce 8800 Ultra puede calcular más de 200 millones de hashes por segundo. ^[21]

Estos ataques de hash y colisión se han demostrado en público en varias situaciones, incluyendo la colisión de archivos de documentos ^{[22] [23]} y certificados digitales . ^[24] A partir de 2015, se demostró que MD5 todavía se usa ampliamente, sobre todo por empresas de investigación de seguridad y antivirus. ^[25]

En 2019, se informó que una cuarta parte de los sistemas de gestión de contenido ampliamente utilizados todavía usaban MD5 para el hash de contraseñas . ^[18]

Panorama de los problemas de seguridad

En 1996, se encontró una falla en el diseño de MD5. Si bien no se consideró una debilidad fatal en ese momento, los criptógrafos comenzaron a recomendar el uso de otros algoritmos, como SHA-1 , que desde entonces también se ha descubierto que es vulnerable. ^[26] En 2004 se demostró que MD5 no es resistente a las colisiones . ^[27] Como tal, MD5 no es adecuado para aplicaciones como certificados SSL o firmas digitales que dependen de esta propiedad para la seguridad digital. Los investigadores descubrieron además fallas más graves en MD5 y describieron un posible ataque de colisión : un método para crear un par de entradas para las que MD5 produce sumas de comprobación idénticas . ^{[5] [28]} Se lograron más avances en la ruptura de MD5 en 2005, 2006 y 2007. ^[29] En diciembre de 2008, un grupo de investigadores utilizó esta técnica para falsificar la validez de los certificados SSL . ^{[24] [30]}

A partir de 2010, el Instituto de Ingeniería de Software de CMU considera que MD5 está "criptográficamente roto y no es adecuado para un uso posterior", ^[31] y la mayoría de las aplicaciones del gobierno de EE. UU. ahora requieren la familia de funciones hash SHA-2 . ^[32] En 2012, el malware Flame explotó las debilidades de MD5 para falsificar una firma digital de Microsoft . ^[33]

Vulnerabilidades de colisión

En 1996, se encontraron colisiones en la función de compresión de MD5, y Hans Dobbertin escribió en el boletín técnico de RSA Laboratories : "El ataque presentado aún no amenaza las aplicaciones prácticas de MD5, pero se acerca bastante... en el futuro, MD5 ya no debería implementarse... donde se requiera una función hash resistente a colisiones". ^[34]

En 2005, los investigadores lograron crear pares de documentos PostScript ^[35] y certificados X.509 ^[36] con el mismo hash. Más tarde ese año, el diseñador de MD5, Ron Rivest, escribió que "tanto md5 como sha1 están claramente dañados (en términos de resistencia a colisiones)". ^[37]

El 30 de diciembre de 2008, un grupo de investigadores anunció en el 25º Congreso de Comunicación del Caos cómo habían utilizado colisiones MD5 para crear un certificado de autoridad de certificación intermedia que parecía ser legítimo cuando se verificaba por su hash MD5. ^[24] Los investigadores utilizaron un clúster PS3 en la EPFL en Lausana , Suiza ^[38] para cambiar un certificado SSL normal emitido por RapidSSL en un certificado CA funcional para ese emisor, que luego podría usarse para crear otros certificados que parecerían ser legítimos y emitidos por RapidSSL. VeriSign , los emisores de certificados RapidSSL, dijeron que dejaron de emitir nuevos certificados utilizando MD5 como su algoritmo de suma de comprobación para RapidSSL una vez que se anunció la vulnerabilidad. ^[39] Aunque Verisign se negó a revocar los certificados existentes firmados con MD5, su respuesta fue considerada adecuada por los autores del exploit ( Alexander Sotirov , Marc Stevens , Jacob Appelbaum , Arjen Lenstra , David Molnar, Dag Arne Osvik y Benne de Weger). ^[24] Bruce Schneier escribió sobre el ataque que "ya sabíamos que MD5 es una función hash rota" y que "nadie debería seguir utilizando MD5". ^[40] Los investigadores de SSL escribieron: "Nuestro impacto deseado es que las autoridades de certificación dejen de utilizar MD5 al emitir nuevos certificados. También esperamos que se reconsidere también el uso de MD5 en otras aplicaciones". ^[24]

En 2012, según Microsoft , los autores del malware Flame utilizaron una colisión MD5 para falsificar un certificado de firma de código de Windows. ^[33]

MD5 utiliza la construcción Merkle–Damgård , por lo que si se pueden construir dos prefijos con el mismo hash, se puede añadir un sufijo común a ambos para que la colisión tenga más probabilidades de ser aceptada como datos válidos por la aplicación que la utiliza. Además, las técnicas actuales de búsqueda de colisiones permiten especificar un prefijo arbitrario : un atacante puede crear dos archivos en colisión que comiencen con el mismo contenido. Todo lo que el atacante necesita para generar dos archivos en colisión es un archivo de plantilla con un bloque de datos de 128 bytes, alineado en un límite de 64 bytes, que se puede cambiar libremente mediante el algoritmo de búsqueda de colisiones. Un ejemplo de colisión MD5, con los dos mensajes que difieren en 6 bits, es:

d131dd02c5e6eec4 693d9a0698aff95c 2fcab5 8 712467eab 4004583eb8fb7f8955ad340609f4b302 83e4888325 7 1415a 085125e8f7cdc99f d91dbd f280373c5bd8823e3156348f5b ae6dacd436c919c6 dd53e2b487da03fd02396306d248cda0e99f33420f577ee8 ce54b67080 a 80d1e c69821bcb6a88393 96f965 2 b6ff72a70

d131dd02c5e6eec4 693d9a0698aff95c 2fcab5 0 712467eab 4004583eb8fb7f8955ad340609f4b302 83e4888325 1415a 085125e8f7cdc99f d91dbd 7 280373c5bd8823e3156348f5b ae6dacd436c919c6 dd53e2 3 487da03fd 02396306d248cda0e99f33420f577ee8 ce54b67080 2 80d1e c69821bcb6a88393 96f965 un b6ff72a70

Ambos producen el hash MD5 79054025255fb1a26e4bc422aef54eb4. ^[41] La diferencia entre las dos muestras es que el bit inicial de cada nibble se ha invertido. Por ejemplo, el byte 20 (desplazamiento 0x13) en la muestra superior, 0x87, es 10000111 en binario. El bit inicial del byte (también el bit inicial del primer nibble) se invierte para obtener 00000111, que es 0x07, como se muestra en la muestra inferior.

Más tarde se descubrió que era posible construir colisiones entre dos archivos con prefijos elegidos por separado. Esta técnica se utilizó en la creación del certificado CA falso en 2008. Anton Kuznetsov propuso en 2014 una nueva variante de búsqueda de colisiones en paralelo mediante MPI , que permitió encontrar una colisión en 11 horas en un clúster de computación. ^[42]

Vulnerabilidad de preimagen

En abril de 2009 se publicó un ataque contra MD5 que rompe la resistencia de preimagen de MD5 . Este ataque es solo teórico, con una complejidad computacional de 2 ^123,4 para una preimagen completa. ^{[43] [44]}

Aplicaciones

Los resúmenes MD5 se han utilizado ampliamente en el mundo del software para proporcionar cierta seguridad de que un archivo transferido ha llegado intacto. Por ejemplo, los servidores de archivos a menudo proporcionan una suma de comprobación MD5 precalculada (conocida como md5sum ) para los archivos, de modo que un usuario pueda comparar la suma de comprobación del archivo descargado con ella. La mayoría de los sistemas operativos basados ​​en Unix incluyen utilidades de suma MD5 en sus paquetes de distribución; los usuarios de Windows pueden utilizar la función PowerShell incluida "Get-FileHash", la función de línea de comandos incluida "certutil -hashfile <filename> md5", ^{[45] [46]} instalar una utilidad de Microsoft, ^{[47] [48]} o utilizar aplicaciones de terceros. Las ROM de Android también utilizan este tipo de suma de comprobación.

Diagrama que muestra el uso del hash MD5 en la transmisión de archivos

Como es fácil generar colisiones MD5, es posible que la persona que creó el archivo cree un segundo archivo con la misma suma de comprobación, por lo que esta técnica no puede proteger contra algunas formas de manipulación maliciosa. En algunos casos, no se puede confiar en la suma de comprobación (por ejemplo, si se obtuvo a través del mismo canal que el archivo descargado), en cuyo caso MD5 solo puede proporcionar una función de comprobación de errores: reconocerá una descarga corrupta o incompleta, lo que es más probable cuando se descargan archivos de gran tamaño.

Históricamente, MD5 se ha utilizado para almacenar un hash unidireccional de una contraseña , a menudo con estiramiento de clave . ^{[49] [50]} NIST no incluye MD5 en su lista de hashes recomendados para el almacenamiento de contraseñas. ^[51]

El método MD5 también se utiliza en el campo del descubrimiento electrónico para proporcionar un identificador único para cada documento que se intercambia durante el proceso de descubrimiento legal. Este método se puede utilizar para reemplazar el sistema de numeración de sellos Bates que se ha utilizado durante décadas durante el intercambio de documentos en papel. Como se mencionó anteriormente, se debe desaconsejar este uso debido a la facilidad de los ataques por colisión.

Algoritmo

Figura 1. Una operación MD5. MD5 consta de 64 de estas operaciones, agrupadas en cuatro rondas de 16 operaciones. F es una función no lineal; se utiliza una función en cada ronda. M _i denota un bloque de 32 bits de la entrada del mensaje, y K _i denota una constante de 32 bits, diferente para cada operación. <<< _s denota una rotación de bit a la izquierda de s lugares; s varía para cada operación. denota adición módulo 2 ³² . ${\displaystyle \boxplus }$

MD5 procesa un mensaje de longitud variable y lo convierte en una salida de longitud fija de 128 bits. El mensaje de entrada se divide en fragmentos de bloques de 512 bits (dieciséis palabras de 32 bits); el mensaje se rellena de modo que su longitud sea divisible por 512. El relleno funciona de la siguiente manera: primero, se añade un solo bit, 1, al final del mensaje. A esto le siguen tantos ceros como sean necesarios para llevar la longitud del mensaje a 64 bits menos que un múltiplo de 512. Los bits restantes se rellenan con 64 bits que representan la longitud del mensaje original, módulo 2 ⁶⁴ .

El algoritmo principal MD5 opera sobre un estado de 128 bits, dividido en cuatro palabras de 32 bits, denominadas A , B , C y D. Estas se inicializan con ciertas constantes fijas. El algoritmo principal utiliza entonces cada bloque de mensaje de 512 bits a su vez para modificar el estado. El procesamiento de un bloque de mensaje consta de cuatro etapas similares, denominadas rondas ; cada ronda se compone de 16 operaciones similares basadas en una función no lineal F , adición modular y rotación a la izquierda. La figura 1 ilustra una operación dentro de una ronda. Hay cuatro funciones posibles; se utiliza una diferente en cada ronda:

${\displaystyle {\begin{aligned}F(B,C,D)&=(B\wedge {C})\vee (\neg {B}\wedge {D})\\G(B,C,D)&=(B\wedge {D})\vee (C\wedge \neg {D})\\H(B,C,D)&=B\oplus C\oplus D\\I(B,C,D)&=C\oplus (B\vee \neg {D})\end{aligned}}}$

${\displaystyle \oplus ,\wedge ,\vee ,\neg }$denotan las operaciones XOR , AND , OR y NOT respectivamente.

Pseudocódigo

El hash MD5 se calcula según este algoritmo. ^[52] Todos los valores están en little-endian .

// : Todas las variables son de 32 bits sin signo y se ajustan módulo 2^32 al calcular var  int s[64], K[64] var  int i// s especifica las cantidades de turnos por rondas[ 0..15] := { 7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22 }s[16..31] := { 5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20 }s[32..47] := { 4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23 }s[48..63] := { 6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21 }// Utilice la parte entera binaria de los senos de los números enteros (radianes) como constantes: para i de 0 a 63 haga K[i] := floor(2 32 × abs(sin(i + 1))) fin para // (O simplemente use la siguiente tabla precalculada):K[0..3] := {0xd76aa478, 0xe8c7b756, 0x242070db, 0xc1bdceee}K[4..7] := {0xf57c0faf, 0x4787c62a, 0xa8304613, 0xfd469501}K[8..11] := { 0x698098d8, 0x8b44f7af, 0xffff5bb1, 0x895cd7be }K[12..15] := { 0x6b901122, 0xfd987193, 0xa679438e, 0x49b40821 }K[16..19] := { 0xf61e2562, 0xc040b340, 0x265e5a51, 0xe9b6c7aa }K[20..23] := { 0xd62f105d, 0x02441453, 0xd8a1e681, 0xe7d3fbc8 }K[24..27] := { 0x21e1cde6, 0xc33707d6, 0xf4d50d87, 0x455a14ed }K[28..31] := { 0xa9e3e905, 0xfcefa3f8, 0x676f02d9, 0x8d2a4c8a }K[32..35] := { 0xfffa3942, 0x8771f681, 0x6d9d6122, 0xfde5380c }K[36..39] := { 0xa4beea44, 0x4bdecfa9, 0xf6bb4b60, 0xbebfbc70 }K[40..43] := { 0x289b7ec6, 0xeaa127fa, 0xd4ef3085, 0x04881d05 }K[44..47] := { 0xd9d4d039, 0xe6db99e5, 0x1fa27cf8, 0xc4ac5665 }K[48..51] := { 0xf4292244, 0x432aff97, 0xab9423a7, 0xfc93a039 }K[52..55] := { 0x655b59c3, 0x8f0ccc92, 0xffeff47d, 0x85845dd1 }K[56..59] := { 0x6fa87e4f, 0xfe2ce6e0, 0xa3014314, 0x4e0811a1 }K[60..63] := { 0xf7537e82, 0xbd3af235, 0x2ad7d2bb, 0xeb86d391 }// Inicializar variables: var  int a0 := 0x67452301 // A var  int b0 := 0xefcdab89 // B var  int c0 := 0x98badcfe // C var  int d0 := 0x10325476 // D// Preprocesamiento: agregar un solo bit "1" al mensaje  // Aviso: los bytes de entrada se consideran cadenas de bits, // donde el primer bit es el bit más significativo del byte. [53]// Preprocesamiento: relleno con ceros , agregando el bit "0" hasta que la longitud del mensaje en bits ≡ 448 (mod 512)// Nota: los dos pasos de relleno anteriores se implementan de una manera más sencilla // en implementaciones que solo funcionan con bytes completos: agregar 0x80 // y rellenar con 0x00 bytes para que la longitud del mensaje en bytes ≡ 56 (mod 64).Añade la longitud original en bits mod 2 64  al mensaje// Procesar el mensaje en fragmentos sucesivos de 512 bits: para cada fragmento de 512 bits del mensaje rellenado, haga lo siguiente: dividir el fragmento en dieciséis palabras de 32 bits M[j], 0 ≤ j ≤ 15 // Inicializar el valor hash para este fragmento:  var  int A := a0 var  int B := b0 var  int C := c0 var  int D := d0  // Bucle principal:  para i de 0 a 63 , hacer  var  int F, g si 0 ≤ i ≤ 15, entonces F := (B y C) o (( no B) y D) yo de lo contrario, si 16 ≤ i ≤ 31 , entonces F := (D y B) o (( no D) y C) g := (5×i + 1) mod 16 de lo contrario si 32 ≤ i ≤ 47 entonces F := B xor C xor D g := (3×i + 5) mod 16 de lo contrario si 48 ≤ i ≤ 63 entonces F := C xor (B o ( no D)) g := (7×i) mod 16  // Tenga cuidado con las siguientes definiciones de a,b,c,d F := F + A + K[i] + M[g] // M[g] debe ser un bloque de 32 bits A := D D := C C := B B := B + leftrotate (F, s[i]) fin para  // Agrega el hash de este fragmento al resultado hasta ahora: a0 := a0 + A b0 := b0 + B c0 := c0 + C d0 := d0 + Dfin paravar  char digest[16] := a0 append b0 append c0 append d0 // (La salida está en little-endian)

En lugar de la formulación del RFC 1321 original que se muestra, se puede utilizar lo siguiente para mejorar la eficiencia (es útil si se utiliza lenguaje ensamblador; de lo contrario, el compilador generalmente optimizará el código anterior. Dado que cada cálculo depende de otro en estas formulaciones, esto suele ser más lento que el método anterior, donde el nand/and se puede paralelizar):

( 0 ≤ i ≤ 15): F := D xor (B y ( C xor D))(16 ≤ i ≤ 31): F := C xor (D y (B xor C))

Hashes MD5

Los hashes MD5 de 128 bits (16 bytes) (también denominados resúmenes de mensajes ) se representan normalmente como una secuencia de 32 dígitos hexadecimales . A continuación se muestra una entrada ASCII de 43 bytes y el hash MD5 correspondiente:

MD5(" El rápido zorro marrón salta sobre el perro perezoso ") =9e107d9d372bb6826bd81d3542a419d6

Incluso un pequeño cambio en el mensaje dará como resultado (con una probabilidad abrumadora) un hash prácticamente distinto, debido al efecto avalancha . Por ejemplo, añadir un punto al final de la frase:

MD5(" El rápido zorro marrón salta sobre el perro perezoso . ") =e4d909c290d0fb1ca068ffaddf22cbd0

El hash de la cadena de longitud cero es:

MD5("") =d41d8cd98f00b204e9800998ecf8427e

El algoritmo MD5 se especifica para mensajes que constan de cualquier número de bits; no está limitado a múltiplos de ocho bits ( octetos , bytes ). Algunas implementaciones de MD5, como md5sum , pueden estar limitadas a octetos o pueden no admitir la transmisión de mensajes de una longitud inicialmente indeterminada.

Implementaciones

A continuación se muestra una lista de bibliotecas de criptografía que admiten MD5:

• Botánica
• Castillo inflable
• criptalib
• Criptomoneda++
• Libgcrypt
• Ortiga
• OpenSSL
• lobo SSL

Véase también

• Comparación de funciones hash criptográficas
• Resumen de seguridad de la función hash
• Choque de hashes
• Criptografía MD5
• md5profundo
• suma md5
• MD6
• SHA-1
• SHA-2

Referencias

1. Rivest, R. (abril de 1992). "Paso 4. Procesar el mensaje en bloques de 16 palabras". El algoritmo de resumen de mensajes MD5. IETF . pág. 5. sec. 3.4. doi : 10.17487/RFC1321 . RFC 1321 . Consultado el 10 de octubre de 2018 .
2. Xie Tao; Fanbao Liu; Dengguo Feng (2013). "Ataque de colisión rápida en MD5" (PDF) . Archivo de Cryptology ePrint . Archivado (PDF) del original el 2 de febrero de 2021 . Consultado el 3 de diciembre de 2013 .
3. Ciampa, Mark (2009). CompTIA Security+ 2008 en profundidad . Australia; Estados Unidos: Course Technology/Cengage Learning. pág. 290. ISBN 978-1-59863-913-1.
4. Kleppmann, Martin (2 de abril de 2017). Diseño de aplicaciones con uso intensivo de datos: las grandes ideas detrás de sistemas confiables, escalables y mantenibles (1.ª ed.). O'Reilly Media. pág. 203. ISBN 978-1449373320.
5. J. Black, M. Cochran, T. Highland: Un estudio de los ataques MD5: perspectivas y mejoras Archivado el 1 de enero de 2015 en Wayback Machine , 3 de marzo de 2006. Consultado el 27 de julio de 2008.
6. Hawkes, Philip; Paddon, Michael; Rose, Gregory G. (13 de octubre de 2004). "Reflexiones sobre la colisión MD5 de Wang et al." Archivo de ePrints de criptología . Archivado desde el original el 5 de noviembre de 2018. Consultado el 10 de octubre de 2018 .
7. Bishop Fox (26 de septiembre de 2013). «Fast MD5 and MD4 Collision Generators» (Generadores de colisiones MD5 y MD4 rápidos). BishopFox . Archivado desde el original el 26 de abril de 2017. Consultado el 10 de febrero de 2014 .
8. Lenstra, Arjen ; Wang, Xiaoyun ; Weger, Benne de (1 de marzo de 2005). "Colliding X.509 Certificates". Archivo de impresión electrónica de criptología . Archivado desde el original el 23 de mayo de 2017 . Consultado el 10 de octubre de 2018 .
9. Klíma, Vlastimil (5 de marzo de 2005). «Finding MD5 Collisions – a Toy For a Notebook» (Encontrar colisiones MD5: un juguete para un portátil). Archivo de criptografía ePrint . Archivado desde el original el 17 de mayo de 2017. Consultado el 10 de octubre de 2018 .
10. Vlastimil Klima: Túneles en funciones hash: colisiones MD5 en un minuto Archivado el 6 de agosto de 2011 en Wayback Machine , Cryptology ePrint Archive Report 2006/105, 18 de marzo de 2006, revisado el 17 de abril de 2006. Consultado el 27 de julio de 2008.
11. "¡Código descifrado! Se resuelve el misterio del logotipo del Cyber ​​Command". USCYBERCOM . Wired News . 8 de julio de 2010. Archivado desde el original el 17 de febrero de 2014. Consultado el 29 de julio de 2011 .
12. Tao Xie; Dengguo Feng (2010). "Construir colisiones MD5 usando un solo bloque de mensaje" (PDF) . Archivado desde el original el 14 de mayo de 2017. Consultado el 28 de julio de 2011 .
13. "Marc Stevens – Investigación – Ataque de colisión de bloque único en MD5". Marc-stevens.nl. 2012. Archivado desde el original el 15 de mayo de 2017. Consultado el 10 de abril de 2014 .
14. Turner, Sean (marzo de 2011). «RFC 6151 – Consideraciones de seguridad actualizadas para el resumen de mensajes MD5 y los algoritmos HMAC-MD5». Grupo de trabajo de ingeniería de Internet . doi :10.17487/RFC6151. Archivado desde el original el 15 de junio de 2017. Consultado el 11 de noviembre de 2013 .
15. Rivest, Ronald L. (abril de 1992). «RFC 1321 – El algoritmo de resumen de mensajes MD5». Grupo de trabajo de ingeniería de Internet . doi : 10.17487/RFC1321 . Archivado desde el original el 9 de abril de 2021. Consultado el 5 de octubre de 2013 .
16. Krawczyk, Hugo; Bellare, Mihir; Canetti, Ran (febrero de 1997). «RFC 2104 – HMAC: Keyed-Hashing for Message Authentication». Grupo de trabajo de ingeniería de Internet . doi :10.17487/RFC2104. Archivado desde el original el 15 de abril de 2021. Consultado el 5 de octubre de 2013 .
17. Chad R, Dougherty (31 de diciembre de 2008). "Nota de vulnerabilidad VU#836068 MD5 vulnerable a ataques de colisión". Base de datos de notas de vulnerabilidad . CERT Carnegie Mellon University Software Engineering Institute. Archivado desde el original el 26 de julio de 2011. Consultado el 3 de febrero de 2017 .
18. Cimpanu, Catalin. "Una cuarta parte de los principales CMS utilizan MD5 obsoleto como esquema de hash de contraseña predeterminado". ZDNet . Archivado desde el original el 24 de enero de 2021. Consultado el 17 de junio de 2019 .
19. MMJ Stevens (junio de 2007). On Collisions for MD5 (PDF) (Tesis de maestría). Archivado (PDF) del original el 17 de mayo de 2017. Consultado el 31 de marzo de 2010 .
20. Marc Stevens; Arjen Lenstra; Benne de Weger (16 de junio de 2009). "Colisiones de prefijo elegido para MD5 y aplicaciones" (PDF) . Escuela Politécnica Federal de Lausana . Archivado desde el original (PDF) el 9 de noviembre de 2011 . Consultado el 31 de marzo de 2010 .
21. "Nuevo cracker de GPU MD5 crackea más de 200 millones de hashes por segundo". Archivado desde el original el 11 de mayo de 2011. Consultado el 25 de marzo de 2011 .
22. Magnus Daum, Stefan Lucks . «Colisiones de hash (el ataque del mensaje envenenado)». Sesión de Eurocrypt 2005. Archivado desde el original el 27 de marzo de 2010.
23. Max Gebhardt; Georg Illies; Werner Schindler (31 de octubre de 2005). "Una nota sobre el valor práctico de las colisiones de hash único para formatos de archivos especiales" (PDF) . Instituto Nacional de Estándares y Tecnología . Archivado desde el original (PDF) el 17 de septiembre de 2008.
24. Sotirov, Alejandro; Marc Stevens; Jacob Appelbaum; Arjen Lenstra; David Molnar; Dag Arne Osvik; Benne de Weger (30 de diciembre de 2008). "MD5 se considera dañino hoy". Archivado desde el original el 25 de marzo de 2017 . Consultado el 30 de diciembre de 2008 .Anunciado Archivado el 16 de noviembre de 2018 en Wayback Machine en el 25º Congreso de Comunicación del Caos .
25. "MD5 venenoso: lobos entre las ovejas | Silent Signal Techblog". 10 de junio de 2015. Archivado desde el original el 10 de junio de 2015 . Consultado el 10 de junio de 2015 .
26. Hans Dobbertin (verano de 1996). "El estado de MD5 después de un ataque reciente". CryptoBytes . Consultado el 22 de octubre de 2013 .
27. Xiaoyun Wang; Hongbo Yu (2005). "Cómo descifrar MD5 y otras funciones hash" (PDF) . Avances en criptología: notas de clase en informática . pp. 19–35. Archivado desde el original (PDF) el 21 de mayo de 2009. Consultado el 21 de diciembre de 2009 .
28. Xiaoyun Wang, Dengguo ,k.,m.,m, HAVAL-128 y RIPEMD , Cryptology ePrint Archive Report 2004/199, 16 de agosto de 2004, revisado el 17 de agosto de 2004. Consultado el 27 de julio de 2008.
29. Marc Stevens, Arjen Lenstra, Benne de Weger: Vulnerabilidad de las aplicaciones de integridad de software y firma de código a colisiones de prefijo elegido para MD5 Archivado el 13 de diciembre de 2007 en Wayback Machine , 30 de noviembre de 2007. Consultado el 27 de julio de 2008.
30. Stray, Jonathan (30 de diciembre de 2008). «Una falla en un navegador web podría poner en riesgo la seguridad del comercio electrónico». CNET.com . Archivado desde el original el 28 de agosto de 2013. Consultado el 24 de febrero de 2009 .
31. "Nota de vulnerabilidad de CERT VU#836068". Kb.cert.org. Archivado desde el original el 21 de marzo de 2017. Consultado el 9 de agosto de 2010 .
32. "NIST.gov — División de Seguridad Informática — Centro de Recursos de Seguridad Informática". Csrc.nist.gov. Archivado desde el original el 9 de junio de 2011. Consultado el 9 de agosto de 2010 .
33. "Explicación del ataque de colisión del malware Flame". Archivado desde el original el 8 de junio de 2012 . Consultado el 7 de junio de 2012 .
34. Dobbertin, Hans (verano de 1996). "El estado de MD5 después de un ataque reciente" (PDF) . RSA Laboratories CryptoBytes . 2 (2): 1. Consultado el 10 de agosto de 2010. El ataque presentado aún no amenaza las aplicaciones prácticas de MD5, pero se acerca bastante. .... [ sic ] en el futuro, MD5 ya no debería implementarse... [ sic ] donde se requiera una función hash resistente a colisiones.^{[ enlace muerto permanente ]}
35. "Schneier sobre seguridad: más colisiones MD5". Schneier.com. Archivado desde el original el 11 de abril de 2021. Consultado el 9 de agosto de 2010 .
36. "Certificados X.509 en colisión". Win.tue.nl. Archivado desde el original el 15 de mayo de 2017. Consultado el 9 de agosto de 2010 .
37. "[Python-Dev] hashlib — md5/sha más rápido, agrega compatibilidad con sha256/512". Mail.python.org. 16 de diciembre de 2005. Archivado desde el original el 6 de mayo de 2021. Consultado el 9 de agosto de 2010 .
38. "Investigadores utilizan un clúster de PlayStation para crear una clave secreta para la Web". Wired . 31 de diciembre de 2008. Archivado desde el original el 21 de abril de 2009 . Consultado el 31 de diciembre de 2008 .
39. Callan, Tim (31 de diciembre de 2008). "El ataque MD5 de esta mañana — resuelto". Verisign. Archivado desde el original el 16 de enero de 2009. Consultado el 31 de diciembre de 2008 .
40. Bruce Schneier (31 de diciembre de 2008). «Falsificación de certificados SSL». Schneier on Security. Archivado desde el original el 9 de noviembre de 2020. Consultado el 10 de abril de 2014 .
41. Eric Rescorla (17 de agosto de 2004). «Una verdadera colisión MD5». Educated Guesswork (blog) . Archivado desde el original el 15 de agosto de 2014. Consultado el 13 de abril de 2015 .
42. Anton A. Kuznetsov. "Un algoritmo para el ataque de colisión de bloque único MD5 utilizando un clúster de computación de alto rendimiento" (PDF) . IACR. Archivado (PDF) del original el 4 de junio de 2016. Consultado el 3 de noviembre de 2014 .
43. Yu Sasaki; Kazumaro Aoki (16 de abril de 2009). "Encontrar preimágenes en MD5 completo es más rápido que con una búsqueda exhaustiva". Avances en criptología - EUROCRYPT 2009. Apuntes de clase en informática. Vol. 5479. Springer Berlin Heidelberg . págs. 134–152. doi :10.1007/978-3-642-01001-9_8. ISBN . 978-3-642-01000-2.
44. Ming Mao y Shaohui Chen y Jin Xu (2009). "Construcción de la estructura inicial para el ataque de preimagen de MD5". Conferencia internacional de 2009 sobre inteligencia computacional y seguridad . Vol. 1. IEEE Computer Society. págs. 442–445. doi :10.1109/CIS.2009.214. ISBN . 978-0-7695-3931-7.S2CID16512325  .​
45. "Cómo encontrar valores de suma de comprobación en Windows 10". Comunidad Microsoft. Archivado desde el original el 11 de enero de 2024. Consultado el 23 de noviembre de 2023 .
46. "certutil". certutil . Microsoft Learn. Archivado desde el original el 23 de noviembre de 2023 . Consultado el 23 de noviembre de 2023 .
47. "Disponibilidad y descripción de la utilidad File Checksum Integrity Verifier". Soporte técnico de Microsoft. 17 de junio de 2013. Archivado desde el original el 15 de febrero de 2015. Consultado el 10 de abril de 2014 .
48. "Cómo calcular los valores hash criptográficos MD5 o SHA-1 de un archivo". Soporte técnico de Microsoft. 23 de enero de 2007. Archivado desde el original el 9 de marzo de 2015. Consultado el 10 de abril de 2014 .
49. "Manual de FreeBSD, Seguridad – DES, Blowfish, MD5 y Crypt". Archivado desde el original el 18 de febrero de 2017. Consultado el 19 de octubre de 2014 .
50. "Sinopsis – páginas del manual sección 4: Formatos de archivo". Docs.oracle.com. 1 de enero de 2013. Archivado desde el original el 4 de marzo de 2016 . Consultado el 10 de abril de 2014 .
51. NIST SP 800-132 Archivado el 1 de diciembre de 2016 en Wayback Machine Sección 5.1
52. "Fuente de referencia". Archivado desde el original el 21 de junio de 2021 . Consultado el 23 de diciembre de 2020 .
53. RFC 1321, sección 2, "Terminología y notación", página 2.

Lectura adicional

• Berson, Thomas A. (1992). "Criptoanálisis diferencial Mod 2 ³² con aplicaciones a MD5". EUROCRYPT . págs. 71–80. ISBN 3-540-56413-6.
• Bert den Boer; Antoon Bosselaers (1993). "Colisiones para la función de compresión de MD5". Avances en criptología - EUROCRYPT '93 . EUROCRIPTA. Berlina; Londres: Springer. págs. 293–304. ISBN 978-3-540-57600-6.
• Hans Dobbertin, Criptoanálisis de la compresión MD5. Anuncio en Internet, mayo de 1996. «CiteSeerX». Citeseer.ist.psu.edu. Archivado desde el original el 24 de junio de 2008. Consultado el 9 de agosto de 2010 .
• Dobbertin, Hans (1996). "El estado de MD5 después de un ataque reciente". CryptoBytes . 2 (2).
• Xiaoyun Wang; Hongbo Yu (2005). "Cómo descifrar MD5 y otras funciones hash" (PDF) . EUROCRYPT . ISBN 3-540-25910-4. Archivado desde el original (PDF) el 21 de mayo de 2009 . Consultado el 6 de marzo de 2008 .

Enlaces externos

• Recomendación del W3C sobre MD5 Archivado el 28 de diciembre de 2014 en Wayback Machine.
• Calculadora MD5 Archivado el 16 de noviembre de 2022 en Wayback Machine.