Cryptanalysis

MD5對不同攻擊的碰撞機率

  • May 13, 2018

我正在研究 MD5 的碰撞機率以及針對它的各種攻擊。有人可以幫助我如何了解在對 MD5 的特定攻擊中發生衝突的最小機率嗎?

例如: MD5的碰撞機率為 $ 1 / 2^{64} $ 在生日悖論下。這是否適用於提供給 MD5 的任何輸入?

另外,MD5 的輸出是否均勻分佈到隨機輸入?(如果,請提供參考。)

MD5 的碰撞機率為 $ 1 / 2^{64} $ 在生日悖論下。這是否適用於提供給 MD5 的任何輸入?

另一個答案中所述, $ 2^{64} $ 是可能發生碰撞之前消息的生日界限,而不是碰撞機率。對於兩條隨機消息,您期望 $ 1/2^{128} $ 與 128 位雜湊衝突的機率。

但是,MD5 在抗碰撞性方面被破壞了,因此對於兩個(或任意數量)攻擊者控制的輸入,您無法對其進行限制,他們可以輕鬆找到碰撞對。(事實上,它們可以產生任意數量的所有衝突的消息,除非對消息長度有限制。)

另外,MD5 的輸出是否均勻分佈到隨機輸入?(如果,請提供參考。)

這翻譯為“是 MD5 PRF?”,據我們所知,情況就是這樣。對於我們不知道如何將其與 PRF 區分開來這一事實的參考,您可以使案例如RFC 6151,它使用它來證明為什麼擺脫 HMAC-MD5 “可能並不緊急”。

引用自:https://crypto.stackexchange.com/questions/26988