MD5 (англ. Message Digest 5) —128-битный алгоритмхеширования, разработанный профессоромРональдом Л. Ривестом изМассачусетского технологического института (Massachusetts Institute of Technology, MIT) в1991 году. Предназначен для создания «отпечатков» илидайджестов сообщения произвольной длины и последующей проверки их подлинности. Широко применялся для проверкицелостности информации и хранения хешей паролей.

MD5 — один из серии алгоритмов по построениюдайджеста сообщения, разработанный профессоромРональдом Л. Ривестом из Массачусетского технологического института. Был разработан в 1991 году как более надёжный вариант предыдущего алгоритмаMD4^[1]. Описан вRFC 1321^[2]. ПозжеГансом Доббертином были найдены недостатки алгоритма MD4.

В 1993 году Берт ден Бур (Bert den Boer) и Антон Босселарс (Antoon Bosselaers) показали, что в алгоритме возможны псевдоколлизии, когда разным инициализирующим векторам соответствуют одинаковые дайджесты для входного сообщения^[3].

В 1996 году Ганс Доббертин (Hans Dobbertin) объявил о коллизии в алгоритме^[4], и уже в то время было предложено использовать другие алгоритмы хеширования, такие какWhirlpool,SHA-1 илиRIPEMD-160.

Из-за небольшого размера хеша в 128 бит можно рассматриватьbirthday-атаки. В марте 2004 года был запущен проект MD5CRK с целью обнаружения уязвимостей алгоритма, при помощиbirthday-атаки. Проект MD5CRK закончился 17 августа 2004 года, когдаВан Сяоюнь (Wang Xiaoyun), Фэн Дэнго (Feng Dengguo),Лай Сюэцзя (Lai Xuejia) и Юй Хунбо (Yu Hongbo) обнаружили уязвимости в алгоритме^[5].

1 марта 2005 годаАрьен Ленстра, Ван Сяоюнь и Бенне де Вегер продемонстрировали построение двух документовX.509 с различными открытыми ключами и одинаковым хешем MD5^[6].

18 марта 2006 года исследовательВластимил Клима (Vlastimil Klima) опубликовал алгоритм, который может найти коллизии за одну минуту на обычном компьютере, метод получил название «туннелирование»^[7].

В конце 2008 годаUS-CERT призвал разработчиков программного обеспечения, владельцев веб-сайтов и пользователей прекратить использовать MD5 в любых целях, так как исследования продемонстрировали ненадёжность этого алгоритма^[8].

24 декабря 2010 года Тао Се (Tao Xie) и Фэн Дэнго (Feng Dengguo) впервые представили коллизию сообщений длиной в один блок (512 бит)^[9].Ранее коллизии были найдены для сообщений длиной в два блока и более. Позднее Марк Стивенс (Marc Stevens) повторил успех, опубликовав блоки с одинаковым хешем MD5, а также алгоритм для получения таких коллизий^[10].

В 2011 году был опубликован информационный документRFC 6151. Он признаёт алгоритм хеширования MD5^[2] небезопасным для некоторых целей и рекомендует отказаться от его использования в пользу SHA-2.

На вход алгоритма поступает входной поток данных, хеш которого необходимо найти. Длина сообщения измеряется в битах и может быть любой (в том числе нулевой). Запишем длину сообщения вL. Это число целое и неотрицательное. Кратность каким-либо числам необязательна. После поступления данных идёт процесс подготовки потока к вычислениям.

Ниже приведены 5 шагов алгоритма^[2]:

Сначала к концу потока дописывают единичный бит.

Затем добавляют некоторое число нулевых бит такое, чтобы новая длина потока${\displaystyle L^{\prime }}$ сталасравнима с 448 по модулю 512, (${\displaystyle L^{\prime }=512\times N+448}$).Выравнивание происходит в любом случае, даже если длина исходного потока уже сравнима с 448.

В конец сообщения дописывают 64-битное представление длины данных (количество бит в сообщении) до выравнивания.Сначала записывают младшие 4 байта, затем старшие. Если длина превосходит${\displaystyle 2^{64}-1}$, то дописывают только младшие биты (эквивалентно взятию по модулю${\displaystyle 2^{64}}$). После этого длина потока станет кратной 512. Вычисления будут основываться на представлении этого потока данных в виде массива слов по 512 бит.

Для вычислений инициализируются четыре переменные размером по 32 бита, начальные значения которых задаются шестнадцатеричными числами (порядок байтовlittle-endian):

А = 01 23 45 67; // 67452301hВ = 89 AB CD EF; // EFCDAB89hС = FE DC BA 98; // 98BADCFEhD = 76 54 32 10. // 10325476h

В этих переменных будут храниться результаты промежуточных вычислений. Начальное состояние ABCD называется инициализирующим вектором.

Определим функции и константы, которые понадобятся нам для вычислений.

• Для каждого раунда потребуется своя функция. Введём функции от трёх параметров — слов, результатом также будет слово:

1-й этап:${\displaystyle \mathrm{FunF}(X,Y,Z)=(X\wedge Y)\vee (\mathrm{\neg }X\wedge Z)}$,

2-й этап:${\displaystyle \mathrm{FunG}(X,Y,Z)=(X\wedge Z)\vee (\mathrm{\neg }Z\wedge Y)}$,

3-й этап:${\displaystyle \mathrm{FunH}(X,Y,Z)=X\oplus Y\oplus Z}$,

4-й этап:${\displaystyle \mathrm{FunI}(X,Y,Z)=Y\oplus (\mathrm{\neg }Z\vee X)}$,

где${\displaystyle \oplus ,\wedge ,\vee ,\mathrm{\neg }}$ побитовые логические операцииXOR,AND,OR иNOT соответственно.

• Определим таблицу констант${\displaystyle T[1\dots 64]}$ — 64-элементная таблица данных, построенная следующим образом:${\displaystyle T[n]=\mathrm{int}(2^{32}\cdot |\sin n|)}$^[11].
• Каждый 512-битный блок проходит 4 этапа вычислений по 16 раундов. Для этого блок представляется в виде массиваX из 16 слов по 32 бита. Все раунды однотипны и имеют вид: [abcd k s i], определяемый как${\displaystyle a=b+((a+\mathrm{Fun}(b,c,d)+X[k]+T[i])⋘s)}$, гдеk — номер 32-битного слова из текущего 512-битного блока сообщения, и${\displaystyle \dots ⋘s}$ — циклический сдвиг влево наs бит полученного 32-битного аргумента. Числоs задается отдельно для каждого раунда.

Заносим в блок данных элементn из массива 512-битных блоков. Сохраняются значения A, B, C и D, оставшиеся после операций над предыдущими блоками (или их начальные значения, если блок первый).

AA = A

BB = B

CC = C

DD = D

Этап 1

/* [abcd k s i] a = b + ((a + F(b,c,d) + X[k] + T[i]) <<< s). */[ABCD  0 7  1][DABC  1 12  2][CDAB  2 17  3][BCDA  3 22  4][ABCD  4 7  5][DABC  5 12  6][CDAB  6 17  7][BCDA  7 22  8][ABCD  8 7  9][DABC  9 12 10][CDAB 10 17 11][BCDA 11 22 12][ABCD 12 7 13][DABC 13 12 14][CDAB 14 17 15][BCDA 15 22 16]

Этап 2

/* [abcd k s i] a = b + ((a + G(b,c,d) + X[k] + T[i]) <<< s). */[ABCD  1 5 17][DABC  6 9 18][CDAB 11 14 19][BCDA  0 20 20][ABCD  5 5 21][DABC 10 9 22][CDAB 15 14 23][BCDA  4 20 24][ABCD  9 5 25][DABC 14 9 26][CDAB  3 14 27][BCDA  8 20 28][ABCD 13 5 29][DABC  2 9 30][CDAB  7 14 31][BCDA 12 20 32]

Этап 3

/* [abcd k s i] a = b + ((a + H(b,c,d) + X[k] + T[i]) <<< s). */[ABCD  5 4 33][DABC  8 11 34][CDAB 11 16 35][BCDA 14 23 36][ABCD  1 4 37][DABC  4 11 38][CDAB  7 16 39][BCDA 10 23 40][ABCD 13 4 41][DABC  0 11 42][CDAB  3 16 43][BCDA  6 23 44][ABCD  9 4 45][DABC 12 11 46][CDAB 15 16 47][BCDA  2 23 48]

Этап 4

/* [abcd k s i] a = b + ((a + I(b,c,d) + X[k] + T[i]) <<< s). */[ABCD  0 6 49][DABC  7 10 50][CDAB 14 15 51][BCDA  5 21 52][ABCD 12 6 53][DABC  3 10 54][CDAB 10 15 55][BCDA  1 21 56][ABCD  8 6 57][DABC 15 10 58][CDAB  6 15 59][BCDA 13 21 60][ABCD  4 6 61][DABC 11 10 62][CDAB  2 15 63][BCDA  9 21 64]

Суммируем с результатом предыдущего цикла:

A = AA + AB = BB + BC = CC + CD = DD + D

После окончания цикла необходимо проверить, есть ли ещё блоки для вычислений. Если да, то переходим к следующему элементу массива (n + 1) и повторяем цикл.

Результат вычислений находится в буфере ABCD, это и есть хеш. Если выводить побайтово, начиная с младшего байта A и заканчивая старшим байтом D, то мы получим MD5-хеш.1, 0, 15, 34, 17, 18…

// Все переменные — 32-битные беззнаковые целые. Все сложения выполняются по модулю 2^32.varints[64],K[64]varinti// s обозначает величины сдвигов для каждой операции:s[0..15] :={ 7, 12, 17, 22,  7, 12, 17, 22,  7, 12, 17, 22,  7, 12, 17, 22 }s[16..31] :={ 5,  9, 14, 20,  5,  9, 14, 20,  5,  9, 14, 20,  5,  9, 14, 20 }s[32..47] :={ 4, 11, 16, 23,  4, 11, 16, 23,  4, 11, 16, 23,  4, 11, 16, 23 }s[48..63] :={ 6, 10, 15, 21,  6, 10, 15, 21,  6, 10, 15, 21,  6, 10, 15, 21 }// Определяем таблицу констант следующим образомforifrom0to63doK[i] :=floor(2^32×abs(sin(i+1)))endfor// (Или просто используем заранее подсчитанные значения):K[0..3] :={ 0xd76aa478, 0xe8c7b756, 0x242070db, 0xc1bdceee }K[4..7] :={ 0xf57c0faf, 0x4787c62a, 0xa8304613, 0xfd469501 }K[8..11] :={ 0x698098d8, 0x8b44f7af, 0xffff5bb1, 0x895cd7be }K[12..15] :={ 0x6b901122, 0xfd987193, 0xa679438e, 0x49b40821 }K[16..19] :={ 0xf61e2562, 0xc040b340, 0x265e5a51, 0xe9b6c7aa }K[20..23] :={ 0xd62f105d, 0x02441453, 0xd8a1e681, 0xe7d3fbc8 }K[24..27] :={ 0x21e1cde6, 0xc33707d6, 0xf4d50d87, 0x455a14ed }K[28..31] :={ 0xa9e3e905, 0xfcefa3f8, 0x676f02d9, 0x8d2a4c8a }K[32..35] :={ 0xfffa3942, 0x8771f681, 0x6d9d6122, 0xfde5380c }K[36..39] :={ 0xa4beea44, 0x4bdecfa9, 0xf6bb4b60, 0xbebfbc70 }K[40..43] :={ 0x289b7ec6, 0xeaa127fa, 0xd4ef3085, 0x04881d05 }K[44..47] :={ 0xd9d4d039, 0xe6db99e5, 0x1fa27cf8, 0xc4ac5665 }K[48..51] :={ 0xf4292244, 0x432aff97, 0xab9423a7, 0xfc93a039 }K[52..55] :={ 0x655b59c3, 0x8f0ccc92, 0xffeff47d, 0x85845dd1 }K[56..59] :={ 0x6fa87e4f, 0xfe2ce6e0, 0xa3014314, 0x4e0811a1 }K[60..63] :={ 0xf7537e82, 0xbd3af235, 0x2ad7d2bb, 0xeb86d391 }// Инициализация переменных:varinta0 :=0x67452301// Avarintb0 :=0xefcdab89// Bvarintc0 :=0x98badcfe// Cvarintd0 :=0x10325476// D// Подготовка: добавляем бит "1" в конец сообщения.append"1"bittomessage// Заметка: входные байты представлены строкой из бит,// причем первый бит — старший (big-endian).// Подготовка: дописываем нулевые биты, пока длина сообщения не станет сравнима с 448 по модулю 512append"0"bituntilmessagelengthinbits≡448(mod512)// Дописываем остаток от деления изначальной длины сообщения на 2^64appendoriginallengthinbitsmod2^64tomessage// Разбиваем подготовленное сообщение на 512-битные "куски":foreach512-bitchunkofpaddedmessagedo// и работаем с каждым по отдельностиbreakchunkintosixteen32-bitwordsM[j],0≤j≤15// разбиваем "кусок" на 16 блоков по 32 бита// Инициализируем переменные для текущего куска:varintA :=a0varintB :=b0varintC :=c0varintD :=d0// Основные операции:forifrom0to63dovarintF,gif0≤i≤15thenF :=(BandC)or((notB)andD)g :=ielseif16≤i≤31thenF :=(DandB)or((notD)andC)g :=(5×i+1)mod16elseif32≤i≤47thenF :=BxorCxorDg :=(3×i+5)mod16elseif48≤i≤63thenF :=Cxor(Bor(notD))g :=(7×i)mod16F :=F+A+K[i]+M[g]// M[g] — 32 битный блокA :=DD :=CC :=BB :=B+(F<<<s[i])// Выполняем битовый сдвигendfor// Прибавляем результат текущего "куска" к общему результатуa0 :=a0+Ab0 :=b0+Bc0 :=c0+Cd0 :=d0+Dendforvarchardigest[16] :=a0appendb0appendc0appendd0// (Результат в формате little-endian)

Результат вычислений на примере языка программирования Python

importhashlibimportmathk:intr:intdefleft_rotate(n,b):return((n<<b)|(n>>(32-b)))&0xffffffffdefmd5(message):a0=0x67452301b0=0xefcdab89c0=0x98badcfed0=0x10325476ml=len(message)*8message=bytearray(message)message.append(0x80)whilelen(message)%64!=56:message.append(0)message+=ml.to_bytes(8,byteorder='little')foriinrange(0,len(message),64):chunk=message[i:i+64]a=a0b=b0c=c0d=d0# Main loopforjinrange(64):if0<=j<=15:f=(b&c)|((~b)&d)g=jelif16<=j<=31:f=(d&b)|((~d)&c)g=(5*j+1)%16elif32<=j<=47:f=b^c^dg=(3*j+5)%16elif48<=j<=63:f=c^(b|(~d))g=(7*j)%16d_temp=dd=cc=bb=(b+left_rotate((a+f+k[j]+int.from_bytes(chunk[4*g:4*(g+1)],byteorder='little')),r[j]))&0xffffffffa=d_tempa0=(a0+a)&0xffffffffb0=(b0+b)&0xffffffffc0=(c0+c)&0xffffffffd0=(d0+d)&0xffffffffreturn'{:08x}{:08x}{:08x}{:08x}'.format(a0,b0,c0,d0)# Пример использования:importhashlibmessage="Hello, world!"result=hashlib.md5(message.encode()).hexdigest()print("MD5 хэш (hashlib):",result)defmd5(message):# ConstantsT=[int(abs(math.sin(i+1))*2**32)&0xFFFFFFFFforiinrange(64)]s=[[7,12,17,22]]*4+[[5,9,14,20]]*4+[[4,11,16,23]]*4+[[6,10,15,21]]*4# Initialize variablesA,B,C,D=0x67452301,0xEFCDAB89,0x98BADCFE,0x10325476message=bytearray(message)length=(8*len(message))&0xFFFFFFFFFFFFFFFFmessage.append(0x80)whilelen(message)%64!=56:message.append(0x00)message.extend(length.to_bytes(8,byteorder='little'))# Process message in 16-word blocksforiinrange(0,len(message),64):X=[int.from_bytes(message[i:i+4],byteorder='little')foriinrange(i,i+64,4)]A_,B_,C_,D_=A,B,C,D# Main loopforjinrange(64):ifj<16:F=(B&C)|((~B)&D)F_index=jelifj<32:F=(D&B)|((~D)&C)F_index=(5*j+1)%16elifj<48:F=B^C^DF_index=(3*j+5)%16else:F=C^(B|(~D))F_index=(7*j)%16dTemp=DD=CC=BB=B+left_rotate((A+F+T[j]+X[F_index])&0xFFFFFFFF,s[j%4][j%4])A=dTemp# Update stateA=(A+A_)&0xFFFFFFFFB=(B+B_)&0xFFFFFFFFC=(C+C_)&0xFFFFFFFFD=(D+D_)&0xFFFFFFFF# Outputresult=bytearray(A.to_bytes(4,byteorder='little'))result.extend(B.to_bytes(4,byteorder='little'))result.extend(C.to_bytes(4,byteorder='little'))result.extend(D.to_bytes(4,byteorder='little'))returnresult.hex()result=md5(message.encode())print("MD5 хэш (самостоятельная реализация):",result)

Алгоритм MD5 происходит от MD4. В новый алгоритм добавили ещё один раунд, теперь их стало 4 вместо 3 в MD4. Добавили новую константу для того, чтобы свести к минимуму влияние входного сообщения, в каждом раунде на каждом шаге и каждый раз константа разная, она суммируется с результатом F и блоком данных. Изменилась функция${\displaystyle G=XZ\vee (Y\mathrm{\neg }Z)}$ вместо${\displaystyle XY\vee XZ\vee YZ}$. Результат каждого шага складывается с результатом предыдущего шага, из-за этого происходит более быстрое изменение результата. Для этой же цели оптимизирована величина сдвига на каждом круге. Изменился порядок работы с входными словами в раундах 2 и 3^[2].

Хеш содержит 128 бит (16 байт) и обычно представляется как последовательность из 32шестнадцатеричных цифр^[12].

Несколько примеров хеша:

 MD5("md5") = 1BC29B36F623BA82AAF6724FD3B16718

Даже небольшое изменение входного сообщения (в нашем случае на один бит: ASCII символ «5» с кодом 35₁₆ = 000110101₂ заменяется на символ «4» с кодом 34₁₆ = 000110100₂) приводит к полному изменению хеша. Такое свойство алгоритма называетсялавинным эффектом.

 MD5("md4") = C93D3BF7A7C4AFE94B64E30C2CE39F4F

Пример MD5-хеша для «нулевой» строки:

 MD5("") = D41D8CD98F00B204E9800998ECF8427E

На данный момент существуют несколько видов «взлома» хешей MD5 — подбора сообщения с заданным хешем^[13][14]:

• Перебор по словарю
• Brute-force
• RainbowCrack
• Коллизия хеш-функции

При этом методы перебора по словарю и brute-force могут использоваться для взлома хеша других хеш-функций (с небольшими изменениями алгоритма). В отличие от них, RainbowCrack требует предварительной подготовкирадужных таблиц, которые создаются для заранее определённой хеш-функции. Поиск коллизий специфичен для каждого алгоритма.

Дляполного перебора или перебора по словарю можно использовать программыPasswordsPro^[15],MD5BFCPF^[16],John the Ripper,Hashcat. Для перебора по словарю существуют готовые словари^[17]. Основным недостатком такого типа атак является высокая вычислительная сложность.

RainbowCrack — ещё один метод нахожденияпрообраза хеша из заданного множества. Он основан на генерации цепочек хешей, чтобы по получившейся базе вести поиск заданного хеша. Хотя создание «радужных таблиц» занимает много времени и памяти, последующий взлом производится очень быстро. Основная идея данного метода — достижениекомпромисса между временем поиска по таблице и занимаемой памятью.

Коллизия хеш-функции — это получение одинакового значения функции для разных сообщений и идентичного начального буфера. В отличие от коллизий,псевдоколлизии определяются как равные значения хеша для разных значений начального буфера, причём сами сообщения могут совпадать или различаться. В MD5 вопрос коллизий не решается^[14].

В 1996 годуГанс Доббертин нашёл псевдоколлизии в MD5, используя определённыеинициализирующие векторы, отличные от стандартных. Оказалось, что можно для известного сообщения построить второе, такое, что оно будет иметь такой же хеш, как и исходное. C точки зрения математики это означает: MD5(IV,L1) = MD5(IV,L2), где IV — начальное значение буфера, а L1 и L2 — различные сообщения. Например, если взять начальное значение буфера^[4]:

A = 0x12AC2375В = 0x3B341042C = 0x5F62B97CD = 0x4BA763E

и задать входное сообщение

то, добавляя число${\displaystyle 2^9}$ к определённому 32-разрядному слову в блочном буфере, можно получить второе сообщение с таким же хешем. Ханс Доббертин представил такую формулу:

Тогда MD5(IV, L1) = MD5(IV, L2) = BF90E670752AF92B9CE4E3E1B12CF8DE.

В 2004 году китайские исследователи Ван Сяоюнь (Wang Xiaoyun), Фэн Дэнго (Feng Dengguo),Лай Сюэцзя (Lai Xuejia) и Юй Хунбо (Yu Hongbo) объявили об обнаруженной ими уязвимости в алгоритме, позволяющей за небольшое время (1 час накластереIBM p690) находить коллизии^[5][18].

В 2005 году Ван Сяоюнь и Юй Хунбо из университета Шаньдуна в Китае опубликовали алгоритм, который может найти две различные последовательности в 128 байт, которые дают одинаковый MD5-хеш. Одна из таких пар (различающиеся разряды выделены):

и

Каждый из этих блоков даёт MD5-хеш, равный 79054025255fb1a26e4bc422aef54eb4^[19].

В 2006 году чешский исследователь Властимил Клима опубликовал алгоритм, позволяющий находитьколлизии на обычном компьютере с любым начальным вектором (A,B,C,D) при помощи метода, названного им «туннелирование»^[7][20].

Алгоритм MD5 использует итерационныйметод Меркла — Дамгора, поэтому становится возможным построение коллизий с одинаковым, заранее выбранным префиксом. Аналогично, коллизии получаются при добавлении одинакового суффикса к двум различным префиксам, имеющим одинаковый хеш. В 2009 году было показано, что для любых двух заранее выбранных префиксов можно найти специальные суффиксы, с которыми сообщения будут иметь одинаковое значение хеша. Сложность такой атаки составляет всего 2³⁹ операций подсчёта хеша^[21].

МетодВан Сяоюня^[англ.] иЮй Хунбо использует тот факт, что MD5 построен на итерационном методе Меркла — Дамгора. Поданный на вход файл сначала дополняется, так чтобы его длина была кратна 64 байтам, после этого он делится на блоки по 64 байта каждый${\displaystyle M_0}$,${\displaystyle M_1}$,${\displaystyle \dots }$,${\displaystyle M_{n-1}}$. Далее вычисляется последовательность 16-байтных состояний${\displaystyle s_0}$,${\displaystyle \dots }$,${\displaystyle s_n}$ по правилу${\displaystyle s_{i+1}=f\left(s_i,M_i\right)}$, где${\displaystyle f}$ — некоторая фиксированная функция. Начальное состояние${\displaystyle s_0}$ называетсяинициализирующим вектором.

Метод позволяет для заданного инициализирующего вектора найти две пары${\displaystyle M,M^{\prime }}$ и${\displaystyle N,N^{\prime }}$, такие что${\displaystyle f(f(s,M),M^{\prime })=f(f(s,N),N^{\prime })}$. Этот метод работает для любого инициализирующего вектора, а не только для вектора используемого по стандарту.

Эта атака является разновидностьюдифференциальной атаки, которая, в отличие от других атак этого типа, использует целочисленное вычитание, а неXOR в качестве меры разности. При поиске коллизий используется метод модификации сообщений: сначала выбирается произвольное сообщение${\displaystyle M_0}$, далее оно модифицируется по некоторым правилам, сформулированным в статье, после чего вычисляется дифференциал хеш-функции, причём${\displaystyle M_0^{\prime }=M_0+d{M}_0}$ с вероятностью${\displaystyle 2^{-37}}$. К${\displaystyle M_0}$ и${\displaystyle M_0^{\prime }}$ применяется функция сжатия для проверки условий коллизии; далее выбирается произвольное${\displaystyle M_1}$, модифицируется, вычисляется новый дифференциал, равный нулю с вероятностью${\displaystyle 2^{-30}}$, а равенство нулю дифференциала хеш-функции как раз означает наличие коллизии. Оказалось, что найдя одну пару${\displaystyle M_0}$ и${\displaystyle M_0^{\prime }}$, можно менять лишь два последних слова в${\displaystyle M_0}$, тогда для нахождения новой пары${\displaystyle M_1}$ и${\displaystyle M_1^{\prime }}$ требуется всего около${\displaystyle 2^{39}}$ операций хеширования^[19].

Применение этой атаки кMD4 позволяет найти коллизию меньше чем за секунду. Она также применима к другим хеш-функциям, таким какRIPEMD иHAVAL^[5].

Ранее считалось, что MD5 позволяет получать относительно надёжный идентификатор для блока данных. На данный момент данная хеш-функция не рекомендуется к использованию, так как существуют способы нахожденияколлизий с приемлемой вычислительной сложностью^[14][22].

Свойство уникальности хеша широко применяется в разных областях^[23]. Приведенные примеры относятся и к другимкриптографическим хеш-функциям.

С помощью MD5 проверяли целостность и подлинность скачанных файлов — так, некоторые программы поставляются вместе со значениемконтрольной суммы. Например, пакеты для инсталляциисвободного ПО^[24].

MD5 использовался для хеширования паролей. В системеUNIX каждый пользователь имеет свой пароль и его знает только пользователь. Для защиты паролей используется хеширование. Предполагалось, что получить настоящий пароль можно только полным перебором. При появленииUNIX единственным способом хеширования былDES (Data Encryption Standard), но им могли пользоваться только жителиСША, потому что исходные кодыDES нельзя было вывозить из страны. ВоFreeBSD решили эту проблему. ПользователиСША могли использовать библиотекуDES, а остальные пользователи имеют метод, разрешённый для экспорта. Поэтому вFreeBSD стали использовать MD5 по умолчанию^[25]. НекоторыеLinux-системы также используют MD5 для хранения паролей^[26].

Многие системы используют базы данных для аутентификации пользователей и существует несколько способов хранения паролей^[27]:

1. Пароли хранятся как есть. При взломе такой базы все пароли станут известны.
2. Хранятся только хеши паролей. Найти пароли можно, используя заранее подготовленные таблицы хешей. Такие таблицы составляются из хешей простых или популярных паролей.
3. К каждому паролю добавляется несколько случайных символов (их называют «соль») и результат хешируется. Полученный хеш вместе с «солью» сохраняются в открытом виде. Найти пароль с помощью таблиц таким методом не получится.

Существует несколько надстроек над MD5.

• MD5 (HMAC) — Keyed-Hashing for Message Authentication (хеширование с ключом для аутентификации сообщения) — алгоритм позволяет хешировать входное сообщение L с некоторым ключом K, такое хеширование позволяет аутентифицировать подпись^[28].
• MD5 (Base64) — здесь полученный MD5-хеш кодируется алгоритмом Base64.
• MD5 (Unix) — алгоритм вызывает тысячу раз стандартный MD5 для усложнения процесса. Также известен как MD5crypt^[29].

• Rivest R.The MD5 Message-Digest Algorithm (англ.) —IETF, 1992. — 21 p. —doi:10.17487/RFC1321
• Boer B. d.,Bosselaers A.Collisions for the compression function of MD5 (англ.) //Advances in Cryptology — EUROCRYPT ’93:Workshop on the Theory and Application of Cryptographic Techniques Lofthus, Norway, May 23–27, 1993 Proceedings /T. Helleseth — 1 — Berlin:Springer Berlin Heidelberg, 1993. — P. 293—304. — 465 p. —ISBN 978-3-540-57600-6 —doi:10.1007/3-540-48285-7_26
• Xiaoyun W.,Yu H.How to Break MD5 and Other Hash Functions (англ.) //Advances in Cryptology — EUROCRYPT 2005:24th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Aarhus, Denmark, May 22-26, 2005. Proceedings /R. Cramer —Springer Science+Business Media, 2005. — P. 19—35. — 578 p. —ISBN 978-3-540-25910-7 —doi:10.1007/11426639_2
• Stevens M.,Lenstra A. K.,de Weger B.Chosen-prefix collisions for MD5 and applications (англ.) //International Journal of Applied Cryptography —Inderscience Publishers, 2012. — Vol. 2, Iss. 4. — P. 322—359. — ISSN1753-0563;1753-0571 —doi:10.1504/IJACT.2012.048084
• Ah Kioon, Mary Cindy,Wang Z.,Deb Das S.Security Analysis of MD5 Algorithm in Password Storage (англ.) //Applied Mechanics and Materials — 2013. — Vol. 2706-2711. — ISSN1660-9336;1662-7482;2297-8941 —doi:10.4028/WWW.SCIENTIFIC.NET/AMM.347-350.2706

• Генератор MD5 хеша из обычного текста
• База данных простых MD5 хешей (позволяет произвести обратный декодирование простых MD5 хешей, используя базу данных сгенерированных хешей)
• Одноимённый образовательный центр в городе Алматы. Наименование образовательного центра является отсылкой на материал, который используется в нескольких лекциях понаправлению WEB разработки

Эта статья входит в числодобротных статей русскоязычного раздела Википедии.

• Хеш-функции
• Криптографические хеш-функции

• Википедия:Cite web (заменить webcitation-архив: deadlink yes)
• Википедия:Cite web (не указан язык)
• Страницы, использующие волшебные ссылки ISBN
• ПРО:ИТ:Статьи по алфавиту
• ПРО:ИТ:Последняя правка: в прошлом году
• Википедия:Статьи с источниками из Викиданных
• Википедия:Добротные статьи:Теория информации и криптография
• Википедия:Добротные статьи по алфавиту
• Страницы, использующие волшебные ссылки RFC