MD4

L'algoritme MD4 Message-Digest és una funció hash criptogràfica desenvolupada per Ronald Rivest el 1990.^[1] La longitud del resum és de 128 bits. L'algoritme ha influït en dissenys posteriors, com ara els algoritmes MD5, SHA-1 i RIPEMD. Les sigles "MD" signifiquen "Message Digest".

MD4
General
Dissenyadors	Ronald Rivest
Data primera publicació	octubre 1990
Series	MD2, MD4, MD5, MD6
Detall de xifratge
Digest sizes	128 bits
Mida del bloc	512 bits
Rondes	3

La seguretat de l'MD4 s'ha vist greument compromesa. El primer atac de col·lisió complet contra MD4 es va publicar el 1995, i des de llavors s'han publicat diversos atacs més nous. A partir del 2007, un atac pot generar col·lisions en menys de dues operacions de hash MD4.^[2] També existeix un atac teòric de preimatge.

Una variant de MD4 s'utilitza a l'esquema URI ed2k per proporcionar un identificador únic per a un fitxer a les populars xarxes P2P eDonkey2000 / eMule. MD4 també era utilitzat pel protocol rsync (abans de la versió 3.0.0).

MD4 s'utilitza per calcular resums de claus derivats de contrasenyes NTLM a Microsoft Windows NT, XP, Vista, 7, 8, 10 i 11.^[3]

Una operació MD4. MD4 consta de 48 d'aquestes operacions, agrupades en tres rondes de 16 operacions. F és una funció no lineal; s'utilitza una funció a cada ronda. M _i denota un bloc de 32 bits de l'entrada del missatge i K _i denota una constant de 32 bits, diferent per a cada ronda.

Seguretat

Den Boer i Bosselaers van demostrar les debilitats de l'MD4 en un article publicat el 1991.^[4] El primer atac de col·lisió amb MD4 de ronda completa va ser descobert per Hans Dobbertin el 1995, i en aquell moment només va trigar uns segons a dur-se a terme.^[5] A l'agost de 2004, Wang et al. van trobar un atac de col·lisió molt eficient, juntament amb atacs a dissenys de funcions hash posteriors de la família MD4/MD5/SHA-1/RIPEMD. Aquest resultat va ser millorat posteriorment per Sasaki et al., i generar una col·lisió ara és tan barat com verificar-la (uns quants microsegons).^[6]

El 2008, Gaëtan Leurent també va trencar la resistència de preimatge de MD4, amb un atac de 2^102[7] El 2010, Guo et al. van publicar un atac de 2^99.7.^[8]

El 2011, la RFC 6150 va declarar que la RFC 1320 (MD4) és històrica (obsoleta).

Hash MD4

Els hash MD4 de 128 bits (16 bytes) (també anomenats resums de missatges) es representen normalment com a nombres hexadecimals de 32 dígits. El següent exemple mostra una entrada ASCII de 43 bytes i el hash MD4 corresponent:

MD4 ("La guineu marró, ràpida, salta per sobre del d mandrós") = 1bee69a46ba811185c194762abaeae90

Fins i tot un petit canvi en el missatge (amb una probabilitat aclaparadora) donarà lloc a un hash completament diferent, per exemple, canviant d per c :

MD4 ("La guineu marró, ràpida, salta per sobre del mandrós c ") = b86e130ce7028da59e672d56ad0113df

El hash de la cadena de longitud zero és:

MD4("") = 31d6cfe0d16ae931b73c59d7e0c089c0

Vectors de prova MD4

Els següents vectors de prova es defineixen a RFC 1320 (l'algoritme MD4 Message-Digest)

MD4 ("") = 31d6cfe0d16ae931b73c59d7e0c089c0 MD4 ("a") = bde52cb31de33e46245e05fbdbd6fb24 MD4 ("abc") = a448017aaf21d8525fc10ae87aa6729d MD4 ("resum del missatge") = d9130a8164549fe818874806e1c7014b MD4 ("abcdefghijklmnopqrstuvwxyz") = d79e1c308aa5bbcdeea8ed63df412da9 MD4 ("ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789") = 043f8582f241db351ce627e153e7f0e4 MD4 ("12345678901234567890123456789012345678901234567890123456789012345678901234567890") = e33b4ddc9c364f2b4ddc9c364f2

Exemple de col·lisió MD4

Sigui:

k1 = 839c7a4d7a92cb 5 d b 9eea5a7573c8a74deb366c3dc20a083b69f5d2a3bb3719dc69891e9f95e809fd7e8b8d3 45e51fe39708bf9427e9c3e8b9 k2 = 839c7a4d7a92cb d c 2 9eea5a7573c8a74deb366c3dc20a083b69f5d2a3bb3719dc69891e9f95e809fd7e8b8cba63182 45e51fe39708bf9427e9c3e8b9

MD4(k1) = MD4(k2) = 4d7e6a1defa93d2dde05b45d864c429b

Tingueu en compte que dos dígits hexadecimals de k1 i k2 defineixen un byte de la cadena d'entrada, la longitud de la qual és de 64 bytes.