Articulo de referencia

MD2 (función hash)

{{cite IETF |ref= {{harvid|RFC 1115}}\n|last= Linn |first= John |rfc= 1115 |date= August 1989 |title= Privacy Enhancement for Internet Electronic Mail: Part III — Algorithms, Mo...

El algoritmo MD2 Message-Digest es una función hash criptográfica obsoleta desarrollada por Ronald Rivest en 1989. [ 2 ] El algoritmo está optimizado para computadoras de 8 bits . MD2 se especifica en IETF RFC 1319. [ 3 ] Las siglas "MD" en MD2 significan "Message Digest" (resumen del mensaje).

Aunque MD2 aún no está completamente comprometido, el IETF lo catalogó como "histórico" en 2011, citando "signos de debilidad". Se recomienda su uso en favor de SHA-256 y otros algoritmos de hash robustos. [ 4 ]

Sin embargo, a partir de 2014, siguió utilizándose en infraestructuras de clave pública como parte de certificados generados con MD2 y RSA .

Descripción

El valor hash de 128 bits de cualquier mensaje se forma rellenándolo hasta un múltiplo de la longitud del bloque (128 bits o 16 bytes ) y añadiéndole una suma de verificación de 16 bytes . Para el cálculo real, se utilizan un bloque auxiliar de 48 bytes y una tabla S de 256 bytes . Las constantes se generaron mezclando los enteros del 0 al 255 utilizando una variante del algoritmo de Durstenfeld con un generador de números pseudoaleatorios basado en dígitos decimales de π (pi) [ 3 ] [ 5 ] (ver nothing up my sleeve number ). El algoritmo se ejecuta en un bucle donde permuta cada byte en el bloque auxiliar 18 veces por cada 16 bytes de entrada procesados. Una vez que se han procesado todos los bloques del mensaje (alargado), el primer bloque parcial del bloque auxiliar se convierte en el valor hash del mensaje.

Los valores de la tabla S en formato hexadecimal son:

{ 0x29, 0x2E, 0x43, 0xC9, 0xA2, 0xD8, 0x7C, 0x01, 0x3D, 0x36, 0x54, 0xA1, 0xEC, 0xF0, 0x06, 0x13, 0x62, 0xA7, 0x05, 0xF3, 0xC0, 0xC7, 0x73, 0x8C, 0x98, 0x93, 0x2B, 0xD9, 0xBC, 0x4C, 0x82, 0xCA, 0x1E, 0x9B, 0x57, 0x3C, 0xFD, 0xD4, 0xE0, 0x16, 0x67, 0x42, 0x6F, 0x18, 0x8A, 0x17, 0xE5, 0x12, 0xBE, 0x4E, 0xC4, 0xD6, 0xDA, 0x9E, 0xDE, 0x49, 0xA0, 0xFB, 0xF5, 0x8E, 0xBB, 0x2F, 0xEE, 0x7A, 0xA9, 0x68, 0x79, 0x91, 0x15, 0xB2, 0x07, 0x3F, 0x94, 0xC2, 0x10, 0x89, 0x0B, 0x22, 0x5F, 0x21, 0x80, 0x7F, 0x5D, 0x9A, 0x5A, 0x90, 0x32, 0x27, 0x35, 0x3E, 0xCC, 0xE7, 0xBF, 0xF7, 0x97, 0x03, 0xFF, 0x19, 0x30, 0xB3, 0x48, 0xA5, 0xB5, 0xD1, 0xD7, 0x5E, 0x92, 0x2A, 0xAC, 0x56, 0xAA, 0xC6, 0x4F, 0xB8, 0x38, 0xD2, 0x96, 0xA4, 0x7D, 0xB6, 0x76, 0xFC, 0x6B, 0xE2, 0x9C, 0x74, 0x04, 0xF1, 0x45, 0x9D, 0x70, 0x59, 0x64, 0x71, 0x87, 0x20, 0x86, 0x5B, 0xCF, 0x65, 0xE6, 0x2D, ​​0xA8, 0x02, 0x1B, 0x60, 0x25, 0xAD, 0xAE, 0xB0, 0xB9, 0xF6, 0x1C, 0x46, 0x61, 0x69, 0x34, 0x40, 0x7E, 0x0F, 0x55, 0x47, 0xA3, 0x23, 0xDD, 0x51, 0xAF, 0x3A, 0xC3, 0x5C, 0xF9, 0xCE, 0xBA, 0xC5, 0xEA, 0x26, 0x2C, 0x53, 0x0D, 0x6E, 0x85, 0x28, 0x84, 0x09, 0xD3, 0xDF, 0xCD, 0xF4, 0x41, 0x81, 0x4D, 0x52, 0x6A, 0xDC, 0x37, 0xC8, 0x6C, 0xC1, 0xAB, 0xFA, 0x24, 0xE1, 0x7B, 0x08, 0x0C, 0xBD, 0xB1, 0x4A, 0x78, 0x88, 0x95, 0x8B, 0xE3, 0x63, 0xE8, 0x6D, 0xE9, 0xCB, 0xD5, 0xFE, 0x3B, 0x00, 0x1D, 0x39, 0xF2, 0xEF, 0xB7, 0x0E, 0x66, 0x58, 0xD0, 0xE4, 0xA6, 0x77, 0x72, 0xF8, 0xEB, 0x75, 0x4B, 0x0A, 0x31, 0x44, 0x50, 0xB4, 0x8F, 0xED, 0x1F, 0x1A, 0xDB, 0x99, 0x8D, 0x33, 0x9F, 0x11, 0x83, 0x14 }

Hashes MD2

Los hashes MD2 de 128 bits (16 bytes) (también denominados resúmenes de mensajes ) se representan normalmente como números hexadecimales de 32 dígitos . A continuación se muestra una entrada ASCII de 43 bytes y el hash MD2 correspondiente:

MD2("El rápido zorro marrón salta sobre el perro perezoso ") = 03d85a0d629d2c442e987525319fc471

Como resultado del efecto avalancha en MD2, incluso un pequeño cambio en el mensaje de entrada dará como resultado (con una probabilidad abrumadora) un hash completamente diferente. Por ejemplo, cambiar la letra d por c en el mensaje da como resultado:

MD2("El rápido zorro marrón salta sobre el perezoso c og") = 6b890c9292668cdbbfda00a4ebf31f05

El hash de la cadena de longitud cero es:

MD2("") = 8350e5a3e24c153df2275c9f80692773

Seguridad

Rogier y Chauvaud presentaron en 1995 [ 6 ] colisiones de la función de compresión de MD2 , aunque no pudieron extender el ataque a todo el MD2. Las colisiones descritas se publicaron en 1997. [ 7 ]

En 2004, se demostró que MD2 era vulnerable a un ataque de preimagen con una complejidad temporal equivalente a 2 104 aplicaciones de la función de compresión. [ 8 ] El autor concluye: "MD2 ya no puede considerarse una función hash unidireccional segura".

En 2008, MD2 introdujo mejoras adicionales en un ataque de preimagen con una complejidad temporal de 2 73 evaluaciones de la función de compresión y requisitos de memoria de 2 73 bloques de mensajes. [ 9 ]

En 2009, se demostró que MD2 era vulnerable a un ataque de colisión con una complejidad temporal de 2 63,3 evaluaciones de la función de compresión y requisitos de memoria de 2 52 valores hash. Esto es ligeramente mejor que el ataque de cumpleaños , que se espera que requiera 2 65,5 evaluaciones de la función de compresión. [ 10 ]

En 2009, se publicaron actualizaciones de seguridad que deshabilitaban MD2 en OpenSSL , GnuTLS y Network Security Services . [ 11 ]

Véase también

Referencias

  1. Linn, John (agosto de 1989). "Algoritmo de resumen de mensajes RSA-MD2" . Mejora de la privacidad para el correo electrónico en Internet: Parte III — Algoritmos, modos e identificadores . Rivest, Ron. IETF . sec.  4.2. doi : 10.17487/RFC1115 . RFC 1115. Consultado el 26 de abril de 2021 .
  2. RSA Laboratories. "¿Qué son MD2, MD4 y MD5?" . Estándares de criptografía de clave pública (PKCS): PKCS #7: Estándar de sintaxis de mensajes criptográficos . RSA Laboratories. Archivado del original el 16 de enero de 2017.
  3. 1 2 Kaliski, Burt (abril de 1992). El algoritmo de resumen de mensajes MD2 . IETF . pág. 3. doi : 10.17487/RFC1319 . RFC 1319. Recuperado el 22 de noviembre de 2014 . 
  4. RFC 6149 , MD2 a estado histórico 
  5. "¿Cómo se construye la tabla S de la función hash MD2 a partir de Pi?" . Cryptography Stack Exchange . Stack Exchange. 2 de agosto de 2014 . Consultado el 23 de mayo de 2021 .
  6. Rogier, N.; Chauvaud, Pascal (18-19 de mayo de 1995). La función de compresión de MD2 no está libre de colisiones . Áreas selectas en criptografía (SAC) 1995, Ottawa, Canadá (acta del taller).
  7. Rogier, N.; Chauvaud, Pascal (1997). "MD2 no es seguro sin el byte de suma de verificación". Diseños, códigos y criptografía . 12 (3): 245– 251. doi : 10.1023/A:1008220711840 . S2CID 21613457 . 
  8. Muller, Frédéric (2004). La función hash MD2 no es unidireccional (PDF) . ASIACRYPT 2004. pp. 214–229 . doi : 10.1007/978-3-540-30539-2_16 . Recuperado el 26 de abril de 2021 a través de la Asociación Internacional para la Investigación Criptológica . 
  9. ^ Thomsen, Søren S. (2008). "Un ataque de preimagen mejorado en MD2" (PDF) .{{cite journal}}: Para citar una revista se requiere |journal=( ayuda )
  10. ^ Knudsen, Lars R.; Mathiassen, John Erik; Müller, Federico; Thomsen, Søren S. (2009). "Criptoanálisis de MD2" . Revista de criptología . 23 : 72– 90. doi : 10.1007/s00145-009-9054-1 . S2CID 2443076 . 
  11. CVE - 2009-2409

Lecturas adicionales

  • Knudsen, Lars R.; Mathiassen, John Erik (21–23 de febrero de 2005). Ataques de preimagen y colisión en MD2 (PDF) . Fast Software Encryption (FSE) 2005. Recuperado el 26 de abril de 2021 .
Obtenido de " https://en.wikipedia.org/w/index.php?title=MD2_(hash_function)&oldid=1330479865 "