将来可以完全破坏MD5吗？

#1 楼

如果您遵循有关MD5的所谓原像攻击的参考，您将看到，尽管时间成本为$ 2 ^ {123.4} $步，但是内存成本为$ 2 ^ {45} \ times 11 $内存字，其中有一个比智能攻击者使用的面积*时间成本高得多-聪明的攻击者可以在$ 2 ^ {123} $的时间内，将32个CPU内核或MD5电路并行安装到更少的芯片面积中，并更快地得到答案。因此，这种攻击没有理由将MD5的原像电阻降低到广告水平以下。

广告水平-128位哈希可以提供的最佳原像电阻-并不是很高。聪明的攻击者会做得更好：聪明的攻击者将使用彩虹表使用并行蛮力机一次攻击许多目标，并在概率为$ n ^ 2 $的并行化机器上的$ n $目标散列中找到一个原像。 p $对MD5的评估所花费的时间成本约为2 ^ {128} p / n $，远低于对单个目标进行攻击所需的约2 ^ {128} p $的成本对MD5的$ 2 ^ {128} p / n ^ 3 $顺序评估。这并不是针对MD5的攻击；这是对任何128位哈希的一般攻击。在实践中会发生这种情况吗？即使对于不是容易猜出的口令的原像，这也是人类可行的范围。

拥有足够大的$ k $量子计算机阵列，可以运行Grover的算法，您可以找到一个MD5在大约$ 2 ^ {64} \ sqrt {p / k} $的时间内，概率为$ p $的原像。这是否会比标准的通用经典并行蛮力攻击便宜呢？这取决于能够制造和供电能够运行Grover的量子计算机的廉价程度-目前，它们根本不存在。 （研究量子多目标故事留给读者练习。）

这并不一定意味着您会找到原始输入字符串-除非您对原始输入字符串的分布有所了解，并将搜索限制在此范围之内，否则您可能会发现乱码与原始输入字符串具有相同的哈希值。 （实际上，仅了解MD5哈希（128位字符串）并不意味着会有“原始输入字符串”。这是一个示例：914c24484128dfe05c3060632ee16e3f。也许您可以为此找到一个原像，但我只是拉了它）因此，它主要用于（a）填写大文件的非常简短的未知高熵细节（您知道其余部分），或（b）发明将具有以下内容的替代字符串：相同的散列，并且仅在对仍使用MD5作为标识代理的系统进行主动攻击时有用。

与计算冲突一样，使用$ \ operatorname {MD5查找消息对$ m_0 \ ne m_1 $ }（m_0）= \ operatorname {MD5}（m_1）$，无法控制通用哈希值可能是什么-您不需要量子计算机来执行此操作。在这一点上，这实际上是一个小技巧，花费一百万个MD5计算来进行新的计算，更不用说将现有的碰撞扩展为更长的碰撞了，而这根本不需要任何计算。