MD5

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사
3. 알고리즘
4. 보안 문제
5. 활용
참조

1. 개요

MD5는 매사추세츠 공과대학교(MIT)의 로널드 리베스트 교수가 개발한 메시지 다이제스트 알고리즘 시리즈 중 하나로, 임의의 길이의 메시지를 128비트 고정 길이의 해시 값으로 변환하는 암호화 해시 함수이다. MD4의 취약점을 보완하기 위해 개발되었으나, 1990년대 후반부터 보안 취약점이 발견되어 더 이상 안전하지 않은 것으로 평가받는다. 2004년에는 해시 충돌 공격이 발표되었고, 이후 X.509 인증서 위조 등 실제 공격 사례가 보고되었다. 현재는 비밀번호 해싱, 디지털 인증서 등 보안이 중요한 분야에서는 사용이 중단되었으며, 파일 무결성 검증 등에서 제한적으로 사용된다. 한국 정부 및 관련 기관에서도 MD5 사용을 중단하고 SHA-256 이상의 안전한 해시 함수 사용을 권장하고 있다.

더 읽어볼만한 페이지

체크섬 알고리즘 - 범용 상품 부호
범용 상품 부호(UPC)는 소매점에서 상품을 식별하기 위해 상품 포장에 인쇄되는 널리 사용되는 바코드의 일종으로, 12자리 숫자로 구성된 UPC-A를 포함한 다양한 변형이 존재한다.
체크섬 알고리즘 - 순환 중복 검사
순환 중복 검사(CRC)는 데이터 전송 또는 저장 시 오류 검출을 위해 데이터를 다항식으로 간주하고 생성 다항식으로 나눈 나머지를 검사 값으로 사용하여 오류를 감지하는 기술이다.
암호화 해시 함수 - RIPEMD
RIPEMD는 MD4를 기반으로 1992년 설계된 암호화 해시 함수로, 보안 취약점 보완을 위해 RIPEMD-128, RIPEMD-160, RIPEMD-256, RIPEMD-320 등의 변형이 개발되었으며, 특히 RIPEMD-160은 160비트 해시 값을 생성하고 다양한 라이브러리에서 지원되지만 보안성 우려가 제기되고 있다.
암호화 해시 함수 - MD4
MD4는 128비트 메시지 다이제스트를 생성하는 암호화 해시 함수였으나, 취약점이 발견되어 역사적인 것으로 지정되었다.

MD5
일반 정보
848ca0f914b8836f4e4aa8c9da171609
종류	메시지 다이제스트 해싱 알고리즘
설계자	로널드 리베스트
발표일	1992년 4월
계열	MD2, MD4, MD5, MD6
구조
다이제스트 크기	128 비트
블록 크기	512 비트
구조	메르켈-담고르 구조
라운드 수	4
암호 분석
암호 분석	2013년 Xie Tao, Fanbao Liu, Dengguo Feng의 공격으로 MD5 해시 충돌이 2¹⁸ 시간 안에 깨짐. 이 공격은 일반 컴퓨터에서 1초 이내에 실행됨.
취약점	MD5는 길이 확장 공격에 취약함.

2. 역사

MD5는 매시지 다이제스트 알고리즘 시리즈 중 하나로, 매사추세츠 공과대학교(MIT)의 로널드 리베스트 교수가 1991년에 MD4의 취약점을 보완하기 위해 설계했다.^[26]

MD5와 RIPEMD 해시 함수에는 이론적인 약점이 존재한다는 것이 밝혀졌으며,^[56]^[57] 2004년 8월, 암호의 국제 회의 CRYPTO에서 MD5의 충돌이 발견되었다는 보고가 있었다.

미국 정부는 MD5 대신 SHA를 표준 해시로 사용하고 있으며, 일본의 CRYPTREC에서는 MD5를 정부 권장 암호 목록에서 제외하고 SHA-256 (SHA-2의 변형) 이상을 권장하고 있다.

2. 1. 초기 개발 배경

MD4는 1990년에 개발되었으나, 보안 취약점이 발견되어 안전성에 대한 우려가 제기되었다. 이에 로널드 리베스트는 1991년에 더 안전한 대체 알고리즘으로 MD5를 설계했다. 1993년, 덴 보어와 보셀라어스는 MD5의 단방향 압축 함수에서 "의사 충돌"을 발견하는 초기 결과를 발표했다.^[26]

2. 2. 보안 취약점 발견 및 대응

1996년, 한스 도베르틴은 MD5 압축 함수의 충돌을 발표했다.^[34] 이는 전체 MD5 해시 함수에 대한 공격은 아니었지만, 암호학자들이 SHA-1(이후에도 취약점이 발견됨) 또는 RIPEMD-160과 같은 대체 알고리즘으로 전환할 것을 권장할 정도로 심각했다.^[24]

2004년, 샤오윈 왕 등은 MD5에 대한 해시 충돌 공격을 발표하며 실질적인 보안 위협을 입증했다.^[26]^[5] 그들의 분석적 공격은 IBM p690 클러스터에서 단 한 시간 만에 완료되었다고 보고되었다.^[6]

2005년, 아르옌 렌스트라, 왕 샤오윈, 벤 데 베거는 서로 다른 공개 키를 가지고 동일한 MD5 해시 값을 갖는 두 개의 X.509 인증서를 제작하는 것을 시연했다.^[7]

2008년, 연구팀은 MD5 충돌을 이용해 SSL 인증서 유효성을 위조하는 데 성공했다.^[29]^[30] 이들은 PS3 클러스터를 사용하여 RapidSSL에서 발급한 일반 SSL 인증서를 해당 발급자에 대한 작동하는 CA 인증서로 변경했다. VeriSign은 이 취약점이 발표된 후 RapidSSL에 대한 체크섬 알고리즘으로 MD5를 사용한 인증서 발급을 중단했다.^[39]

CMU 소프트웨어 엔지니어링 연구소는 2008년 MD5가 본질적으로 "암호학적으로 파손되었으며 더 이상 사용하기에 적합하지 않다"고 결론 내렸다.^[16]

2012년, Flame 멀웨어는 MD5의 취약점을 악용하여 마이크로소프트 전자 서명을 위조했다.^[33]

현재는 2.6GHz 펜티엄 4 프로세서가 장착된 컴퓨터에서 몇 초 안에 충돌 공격을 통해 충돌을 찾을 수 있다(복잡도 2^24.1).^[17] 또한, 기성품 컴퓨팅 하드웨어를 사용하여 지정된 접두사가 있는 두 입력에 대한 충돌을 몇 초 안에 생성할 수 있는 선택된 접두사 충돌 공격도 있다(복잡도 2³⁹).^[18]

2. 3. 현재 권장 사항

미국 사이버 사령부는 2009년에 공식 엠블럼의 일부로 사명 선언문의 MD5 해시 값을 사용했지만,^[10] 현재는 더 안전한 알고리즘을 사용할 것으로 예상된다. CMU 소프트웨어 공학 연구소는 2008년 12월 31일에 MD5가 "암호학적으로 파손되었으며 더 이상 사용하기에 적합하지 않다"고 결론 내렸다.^[16] 미국 정부는 MD5 대신 SHA (SHA)를 표준 해시로 사용하고 있으며, 대부분의 미국 정부 애플리케이션에서는 SHA-2 계열의 해시 함수를 요구한다.^[32]

일본의 CRYPTREC에서는 MD5를 정부 권장 암호 목록에서 제외하고, SHA-256 (SHA-2의 변형) 이상을 권장하고 있다.

3. 알고리즘

MD5는 로널드 리베스트가 1991년에 개발한 알고리즘으로, MD4를 개선하여 안전성을 높였다.^[52] 임의의 길이의 메시지를 입력받아 128비트의 고정된 길이의 해시값을 출력한다. 이 해시값은 일반적으로 32개의 16진법 숫자로 표현된다.

MD5 알고리즘은 다음과 같이 요약될 수 있다.

1. 입력 처리 및 패딩: 입력 메시지는 512비트 블록으로 나뉘며, 512비트의 배수가 되도록 패딩된다. 패딩은 먼저 메시지 끝에 비트 '1'을 추가하고, 512비트 배수보다 64비트 적은 길이가 될 때까지 '0' 비트를 추가한다. 마지막 64비트는 원래 메시지의 길이를 나타낸다.

2. 초기값 설정: A, B, C, D라는 네 개의 32비트 변수가 특정 상수값으로 초기화된다.

3. 메인 루프: 각 512비트 블록에 대해 4라운드의 연산이 수행된다. 각 라운드는 16번의 동일한 연산을 포함하며, 비선형 함수 F, 모듈러 덧셈, 왼쪽 회전 연산으로 구성된다.

4. 함수 F: 각 라운드마다 다른 비선형 함수(F, G, H, I)가 사용된다. 이 함수들은 XOR, 논리곱(AND), 논리합(OR), 부정(NOT) 연산을 조합하여 비트 수준의 연산을 수행한다.

: $F(X,Y,Z) = (X\wedge{Y}) \vee (\neg{X} \wedge{Z})$

: $G(X,Y,Z) = (X\wedge{Z}) \vee (Y \wedge \neg{Z})$

: $H(X,Y,Z) = X \oplus Y \oplus Z$

: $I(X,Y,Z) = Y \oplus (X \vee \neg{Z})$

5. 최종 해시값 생성: 모든 512비트 블록이 처리되면, A, B, C, D 레지스터의 값을 연결하여 128비트의 최종 해시값을 얻는다.

MD5는 눈사태 효과를 통해 입력 메시지의 작은 변화도 출력 해시값에 큰 변화를 일으킨다. 예를 들어, "The quick brown fox jumps over the lazy dog"와 "The quick brown fox jumps over the lazy dog."의 MD5 해시값은 완전히 다르다. 빈 문자열의 MD5 해시값은 "d41d8cd98f00b204e9800998ecf8427e"이다.

하지만 1996년에 설계 결함이 발견되었고, 2004년에는 충돌 저항성이 없다는 것이 밝혀졌다.^[24]^[25] 이후 MD5의 취약점을 이용한 공격이 발견되면서, CMU 소프트웨어 엔지니어링 연구소는 2010년에 MD5를 "암호학적으로 파괴되었으며 더 이상 사용하기에 적합하지 않다"고 평가했다.^[31]

3. 1. 작동 원리

MD5는 임의의 길이의 메시지를 입력받아 128비트의 고정 길이 출력값을 낸다. 입력 메시지는 512비트 블록 단위로 처리되며, 우선 패딩을 통해 512로 나누어떨어지는 길이가 되도록 만든다. 패딩은 다음과 같이 이루어진다.

# 메시지 끝에 단일 비트 1을 추가한다.

# 512의 배수보다 64비트가 적은 곳까지 0으로 채운다.

# 나머지 64비트는 최초 메시지의 길이를 나타내는 64비트 정수값으로 채운다.

MD5 알고리즘은 A, B, C, D라고 하는 32비트 워드 네 개로 구성된 128비트 상태(state)에서 작동한다. 이들은 특정 상수값으로 초기화된다. 각 512비트 입력 메시지 블록은 차례로 이 128비트 상태값을 변화시킨다.

하나의 메시지 블록 처리는 4단계("라운드"라고 함)로 나뉜다. 각 라운드는 비선형 함수 F, 모듈라 덧셈, 레프트 로테이션(left rotation)을 기반으로 하는 16개의 유사한 연산으로 구성된다.

각 라운드마다 다른 F 함수가 사용된다.

:

F(X,Y,Z) = (X\wedge{Y}) \vee (\neg{X} \wedge{Z})

:

G(X,Y,Z) = (X\wedge{Z}) \vee (Y \wedge \neg{Z})

:

H(X,Y,Z) = X \oplus Y \oplus Z

:

I(X,Y,Z) = Y \oplus (X \vee \neg{Z})

\oplus, \wedge, \vee, \neg

는 각각 XOR, 논리곱, 논리합, NOT 연산을 나타낸다.

3. 2. 구성 요소

MD5 알고리즘은 크게 네 가지 주요 구성 요소로 이루어져 있다.

초기화 벡터 (IV): A, B, C, D라는 4개의 32비트 워드로 구성된 128비트 상태는 특정 상수 값으로 초기화된다. 이 값들은 다음과 같다.
A: 0x67452301
B: 0xefcdab89
C: 0x98badcfe
D: 0x10325476

비선형 함수 (F): 각 라운드마다 다른 4개의 비선형 함수(F, G, H, I)가 사용된다. 이 함수들은 XOR, 논리곱(AND), 논리합(OR), 논리부정(NOT) 연산을 조합하여 만들어진다. 각 함수는 다음과 같다.

:

F(X,Y,Z) = (X\wedge{Y}) \vee (\neg{X} \wedge{Z})

:

G(X,Y,Z) = (X\wedge{Z}) \vee (Y \wedge \neg{Z})

:

H(X,Y,Z) = X \oplus Y \oplus Z

:

I(X,Y,Z) = Y \oplus (X \vee \neg{Z})

모듈러 덧셈: 모듈러 덧셈은 2³²를 법으로 하는 덧셈 연산이 사용된다.
Addition

레프트 로테이션:
left shift
_''s''는 s칸 만큼의 레프트 로테이션(left rotation)을 가리키며, s는 각 연산 후 값이 변한다. 비트를 왼쪽으로 순환시키는 연산이 사용된다.

상수 (K): 각 연산마다 다른 32비트 상수 값(K)이 사용된다. 이 값은 사인(sine) 함수의 절대값에 2³²를 곱한 후 정수 부분만 취하여 생성한다.

3. 3. 패딩

MD5는 임의의 길이의 메시지를 입력받아 128비트의 고정된 길이의 출력값을 낸다. 입력 메시지는 512 비트 블록들로 쪼개지는데, 메시지의 길이가 512의 배수가 되도록 패딩을 수행한다. 패딩은 다음과 같이 이루어진다.

1. 먼저 메시지 끝에 1비트 '1'을 추가한다.

2. 그 후 512의 배수의 길이보다 64 비트가 적은 곳까지 0으로 채운다.

3. 나머지 64 비트는 원본 메시지의 길이를 나타내는 64 비트 정수값으로 채워진다.

3. 4. 의사 코드

MD5 알고리즘의 의사코드는 다음과 같다.^[52]

//Note: 모든 변수는 부호 없는 32비트이며 계산 시 2^32로 래핑됩니다

'''var''' ''int''[64] r, k

//r은 라운드당 시프트 양을 지정합니다

r[ 0..15] := {7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22, 7, 12, 17, 22}

r[16..31] := {5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20, 5, 9, 14, 20}

r[32..47] := {4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23, 4, 11, 16, 23}

r[48..63] := {6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21, 6, 10, 15, 21}

//정수의 사인(라디안)의 이진 정수 부분을 상수로 사용합니다:

'''for''' i '''from''' 0 '''to''' 63

k[i] := floor(abs(sin(i + 1)) × (2 '''pow''' 32))

//변수 초기화:

'''var''' ''int'' h0 := 0x67452301

'''var''' ''int'' h1 := 0xEFCDAB89

'''var''' ''int'' h2 := 0x98BADCFE

'''var''' ''int'' h3 := 0x10325476

//전처리:

'''append''' "1" bit '''to''' message

'''append''' "0" bits '''until''' message length in bits ≡ 448 (mod 512)

'''append''' bit (bit, not byte) length of unpadded message '''as''' ''64-bit little-endian integer'' '''to''' message

//메시지를 연속적인 512비트 청크로 처리:

'''for each''' ''512-bit'' chunk '''of''' message

break chunk into sixteen 32-bit little-endian words w[i], 0 ≤ i ≤ 15

//이 청크의 해시 값 초기화:

'''var''' ''int'' a := h0

'''var''' ''int'' b := h1

'''var''' ''int'' c := h2

'''var''' ''int'' d := h3

//메인 루프:

'''for''' i '''from''' 0 '''to''' 63

'''if''' 0 ≤ i ≤ 15 '''then'''

f := (b '''and''' c) '''or''' (('''not''' b) '''and''' d)

g := i

'''else if''' 16 ≤ i ≤ 31

f := (d '''and''' b) '''or''' (('''not''' d) '''and''' c)

g := (5×i + 1) '''mod''' 16

'''else if''' 32 ≤ i ≤ 47

f := b '''xor''' c '''xor''' d

g := (3×i + 5) '''mod''' 16

'''else if''' 48 ≤ i ≤ 63

f := c '''xor''' (b '''or''' ('''not''' d))

g := (7×i) '''mod''' 16

temp := d

d := c

c := b

b := b + '''leftrotate'''((a + f + k[i] + w[g]) , r[i])

a := temp

//지금까지의 결과에 이 청크의 해시를 더합니다:

h0 := h0 + a

h1 := h1 + b

h2 := h2 + c

h3 := h3 + d

'''var''' ''int'' digest := h0 '''append''' h1 '''append''' h2 '''append''' h3 //(출력은 리틀 엔디안)

//leftrotate 함수 정의

'''leftrotate''' (x, c)

return (x << c) '''or''' (x >> (32-c));

4. 보안 문제

MD5는 매사추세츠 공과대학교(MIT)의 로널드 리베스트 교수가 설계한 매시지 다이제스트 알고리즘이다.^[26] 1991년, MD5는 이전 버전인 MD4의 취약점 가능성에 대한 대응으로 설계되었다.

1993년, 덴 보어와 보셀라어스는 MD5 단방향 압축 함수에서 동일한 다이제스트를 생성하는 두 개의 서로 다른 초기화 벡터를 발견했다. 이는 "의사 충돌"로 불리는 초기 결과였다.

2009년, 미국 사이버 사령부는 공식 엠블럼의 일부로 그들의 사명 선언문의 MD5 해시 값을 사용했다.^[10]

하지만, MD5는 암호화 해시 함수가 갖춰야 할 기본적인 요구 사항, 즉 동일한 값으로 해싱되는 서로 다른 두 메시지를 찾는 것이 계산적으로 불가능해야 한다는 점을 충족시키지 못한다. 그럼에도 불구하고 MD5는 보안 전문가에 의해 잘 알려진 약점과 사용 중단에도 불구하고 계속 널리 사용되고 있다.^[23]

4. 1. 충돌 저항성 문제

1996년에 MD5의 압축 함수에서 충돌이 발견되었다.^[34] 이는 전체 MD5 해시 함수에 대한 공격은 아니었지만, 암호학자들이 SHA-1(이후에도 취약점이 발견됨)과 같은 대체 알고리즘으로 전환할 것을 권장할 정도로 심각했다.^[24]

2004년에 MD5가 충돌 저항성이 없다는 것이 밝혀졌다.^[25] 샤오윈 왕 등은 IBM p690 클러스터에서 단 한 시간 만에 MD5 충돌을 생성하는 방법을 발표했다.^[26]^[5]^[6] 이는 생일 공격을 고려할 수 있을 정도로 작은 해시 값의 크기(128비트) 때문이었다. 같은 해 8월 17일, MD5CRK 프로젝트는 샤오윈 왕 등의 연구 결과 발표로 인해 종료되었다.

2005년 아르옌 렌스트라, 왕 샤오윈, 벤 데 베거는 서로 다른 공개 키를 가지고 동일한 MD5 해시 값을 갖는 두 개의 X.509 인증서를 제작하는 것을 시연했다.^[7] 며칠 후, 블라스티밀 클리마는 노트북 컴퓨터에서 몇 시간 만에 MD5 충돌을 생성할 수 있는 개선된 알고리즘을 발표했다.^[8] 2006년에는 클리마가 터널링이라는 방법을 사용하여 단일 노트북 컴퓨터에서 1분 안에 충돌을 찾을 수 있는 알고리즘을 발표했다.^[9]

2008년 12월, 연구팀은 이 기술을 사용하여 SSL 인증서 유효성을 위조했다.^[29]^[30]

2010년 12월 24일, 타오 시에와 덩궈 펑은 최초로 공개된 단일 블록(512비트) MD5 충돌을 발표했다.^[11]

2011년에는 MD5^[14] 및 HMAC-MD5^[15]의 보안 고려 사항을 업데이트하기 위해 정보 RFC 6151이 승인되었다.

2012년 Flame 멀웨어가 MD5의 취약점을 악용하여 마이크로소프트 전자 서명을 위조했다.^[33]

이러한 충돌 공격은 2.6GHz 펜티엄 4 프로세서가 장착된 컴퓨터에서 몇 초 안에 찾을 수 있을 정도로 쉬워졌다(복잡도 2^24.1).^[17] 또한, 기성품 컴퓨팅 하드웨어를 사용하여 지정된 접두사가 있는 두 입력에 대한 충돌을 몇 초 안에 생성할 수 있는 선택된 접두사 충돌 공격도 가능하다(복잡도 2³⁹).^[18] GPU를 사용하면 충돌을 찾는 속도가 더욱 빨라진다.

CMU 소프트웨어 공학 연구소는 2008년 12월 31일 MD5가 "암호학적으로 파손되었으며 더 이상 사용하기에 적합하지 않다"고 결론 내렸다.^[16]

4. 2. 원상 저항성 문제

2009년 4월, MD5의 원상(사전) 이미지 저항을 깨는 공격이 발표되었다. 이 공격은 이론적인 것으로, 전체 원상 이미지를 찾는 계산 복잡도는 2^123.4이다.^[43]^[44]

주어진 해시값에 대해, 그 해시값을 갖는 다른 데이터를 생성하는 구현은 널리 퍼져 있지 않다. 즉, 약한 원상 저항성은 쉽게 돌파될 수 있는 것은 아니다. 또한, 주어진 해시값에 대해, 변조자의 의도대로 데이터 열을 쉽게 생성할 수 있는 것도 아니다 (만약 그렇다면, 그것은 이미 암호가 아니다).

특정 해시값 H에 대해, 동일한 해시값을 갖는 다른 데이터 열을 발견했다면, 그것은 약한 원상 저항성이 돌파된 것을 의미한다.

강한 충돌 저항성이 돌파되었다는 것은, 장기적으로 공격 수법이나 계산 능력의 진화에 의해 약한 원상 저항성도 돌파될 수 있다는 것을 암시한다. 만약 약한 원상 저항성이 돌파된다면, 더 이상 암호화 통신이나 전자 서명의 무결성을 증명할 수 없게 되며, 그 암호화 및 서명 시스템은 사실상 무용지물이 된다.

4. 3. 실제 공격 사례

MD5의 취약점은 여러 실제 공격 사례에서 악용되었다.

2012년에 발견된 Flame 멀웨어는 MD5 충돌 취약점을 악용하여 마이크로소프트 Windows 코드 서명 인증서를 위조했다.^[33]

2008년에는 연구팀이 MD5 충돌을 이용하여 중간 인증 기관 인증서를 생성하여 SSL 인증서를 위조하는 데 성공했다.^[29] 이들은 PS3 클러스터를 사용하여 RapidSSL에서 발급한 일반 SSL 인증서를 해당 발급자에 대한 작동하는 CA 인증서로 변경했다. 이 CA 인증서는 다른 인증서를 생성하는 데 사용될 수 있었으며, RapidSSL에서 발급한 합법적인 인증서처럼 보이게 할 수 있었다.

2007년 4월 IPA는 APOP 프로토콜의 취약성을 이용하여 MD5 해시로부터 비밀번호를 알아낼 수 있음을 경고했다.^[58] 전기통신대학의 오타 카즈오 등이 발견한 이 취약점은 APOP 프로토콜의 약점을 이용, MD5 해시로부터 이론적으로 원래의 비밀번호를 알아낼 수 있다는 것이었다.^[59]

5. 활용

MD5는 파일 무결성 검증, 비밀번호 해싱, 전자 증거 개시 등 다양한 분야에서 활용되어 왔다.

파일 무결성 검증을 위해 MD5 체크섬을 사용할 수 있지만, 악의적인 변조를 막기에는 취약하다. 과거에는 비밀번호를 키 스트레칭과 함께 MD5로 해싱하여 저장하는 방식이 사용되었으나, 미국 국립표준기술연구소(NIST)는 더 이상 이 방법을 권장하지 않는다.^[51]

MD5는 전자 증거 개시 분야에서 문서 식별을 위해 사용될 수 있지만, 충돌 공격의 위험이 있어 권장되지 않는다.

일반적인 암호학적 해시 함수로 사용할 수 있지만, 여러 취약점이 발견되어 보안 강도가 중요한 경우에는 SHA-1(이후 취약점 발견됨), RIPEMD-160, SHA-2 등과 같은 다른 알고리즘을 사용하는 것이 바람직하다.

5. 1. 파일 무결성 검증

MD5 다이제스트는 전송된 파일이 손상 없이 도착했는지 확인하는 데 사용되어 왔으며, 특히 소프트웨어 업계에서 널리 사용되고 있다. 예를 들어, 파일 서버는 종종 파일에 대해 미리 계산된 MD5 (일명 md5sum) 체크섬을 제공하여 사용자가 다운로드한 파일의 체크섬과 이를 비교할 수 있도록 한다. 대부분의 유닉스 기반 운영 체제는 배포 패키지에 MD5 sum 유틸리티를 포함하고 있다. 윈도우 사용자는 포함된 PowerShell 함수 "Get-FileHash", 포함된 명령줄 기능 "certutil -hashfile md5"^[45]^[46], 마이크로소프트 유틸리티 설치^[47]^[48] 또는 타사 응용 프로그램을 사용할 수 있다. 안드로이드 ROM도 이러한 유형의 체크섬을 사용한다.

MD5 충돌을 쉽게 생성할 수 있으므로, 파일을 만든 사람이 동일한 체크섬을 가진 두 번째 파일을 만들 수 있어 이 기술은 일부 형태의 악의적인 변조로부터 보호할 수 없다. 어떤 경우에는 체크섬을 신뢰할 수 없으며 (예: 다운로드한 파일과 동일한 채널을 통해 획득한 경우), 이 경우 MD5는 오류 검사 기능만 제공할 수 있다. 즉, 손상되었거나 불완전한 다운로드를 인식하며, 이는 더 큰 파일을 다운로드할 때 더 가능성이 높아진다.

FreeBSD는 설치 가능한 CD 이미지와 해당 MD5 값을 함께 배포한다. (MD5 값의 변조는 없다고 가정) 설치 가능한 CD 이미지가 도중에 변조되지 않았는지 확인해 볼 수 있다.

# md5 명령어를 이미지 파일에 실행한다.

#:localhost% md5 5.1-RELEASE-i386-miniinst.iso

#:MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67

# CHECKSUM.MD5의 내용을 확인하여 일치하면 손상되었을 가능성이 매우 낮다는 것을 알 수 있다.

#:localhost% cat CHECKSUM.MD5

#:MD5 (5.1-RELEASE-i386-disc1.iso) = 3b6619cffb5f96e1acfa578badae372f

#:MD5 (5.1-RELEASE-i386-disc2.iso) = 2cfa746974210d68e96ee620bf842fb6

#:MD5 (5.1-RELEASE-i386-miniinst.iso) = 646da9ae5d90e6b51b06ede01b9fed67

5. 2. 응용 프로그램

MD5는 다음을 포함한 다양한 암호화 라이브러리에서 지원된다.

라이브러리
Botan
Bouncy Castle
cryptlib
Crypto++
Libgcrypt
Nettle
OpenSSL
wolfSSL

일부 콘텐츠 관리 시스템은 비밀번호 해싱에 여전히 MD5를 사용하기도 하지만,^[23] 보안을 위해서는 더 강력한 알고리즘으로 전환하는 것이 바람직하다.

5. 3. 전자 증거 개시 (eDiscovery)

MD5는 전자 증거 개시 분야에서 법적 증거 개시 과정에 사용되어, 교환되는 각 문서에 고유 식별자를 부여한다. 이는 수십 년 동안 종이 문서 교환에 사용된 베이츠 스탬프 번호 매기기 시스템을 대체할 수 있다. 그러나 MD5는 충돌 저항성이 없어, 충돌 공격에 취약하여 이러한 용도로는 권장되지 않는다.^[25]

참조

_[1] IETF The MD5 Message-Digest Algorithm IETF 2018-10-10
_[2] 웹사이트 Fast Collision Attack on MD5 https://eprint.iacr.[...] 2013-12-03
_[3] 서적 CompTIA Security+ 2008 in depth https://archive.org/[...] Course Technology/Cengage Learning
_[4] 서적 Designing Data-Intensive Applications: The Big Ideas Behind Reliable, Scalable, and Maintainable Systems O'Reilly Media 2017-04-02
_[5] 저널 Musings on the Wang et al. MD5 Collision https://eprint.iacr.[...] 2018-10-10
_[6] 웹사이트 Fast MD5 and MD4 Collision Generators http://www.bishopfox[...] 2014-02-10
_[7] 저널 Colliding X.509 Certificates http://eprint.iacr.o[...] 2018-10-10
_[8] 저널 Finding MD5 Collisions – a Toy For a Notebook http://eprint.iacr.o[...] 2018-10-10
_[9] 웹사이트 Tunnels in Hash Functions: MD5 Collisions Within a Minute http://eprint.iacr.o[...] 2008-07-27
_[10] 잡지 Code Cracked! Cyber Command Logo Mystery Solved https://www.wired.co[...] Wired News 2011-07-29
_[11] 웹사이트 Construct MD5 Collisions Using Just A Single Block Of Message http://eprint.iacr.o[...] 2011-07-28
_[12] 웹사이트 Marc Stevens – Research – Single-block collision attack on MD5 http://marc-stevens.[...] Marc-stevens.nl 2014-04-10
_[13] 저널 RFC 6151 – Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms https://tools.ietf.o[...] 2013-11-11
_[14] 저널 RFC 1321 – The MD5 Message-Digest Algorithm https://tools.ietf.o[...] 2013-10-05
_[15] 저널 RFC 2104 – HMAC: Keyed-Hashing for Message Authentication https://tools.ietf.o[...] 2013-10-05
_[16] 웹사이트 Vulnerability Note VU#836068 MD5 vulnerable to collision attacks https://www.kb.cert.[...] CERT Carnegie Mellon University Software Engineering Institute 2008-12-31
_[17] 논문 On Collisions for MD5 http://www.win.tue.n[...] 2010-03-31
_[18] 웹사이트 Chosen-prefix Collisions for MD5 and Applications https://documents.ep[...] 2010-03-31
_[19] 웹사이트 New GPU MD5 cracker cracks more than 200 million hashes per second. http://bvernoux.free[...] 2011-03-25
_[20] 웹사이트 Hash Collisions (The Poisoned Message Attack) http://th.informatik[...]
_[21] 웹사이트 A Note on the Practical Value of Single Hash Collisions for Special File Formats http://csrc.nist.gov[...] 2005-10-31
_[22] 웹사이트 Poisonous MD5 – Wolves Among the Sheep {{!}} Silent Signal Techblog http://blog.silentsi[...] 2015-06-10
_[23] 웹사이트 A quarter of major CMSs use outdated MD5 as the default password hashing scheme https://www.zdnet.co[...] 2019-06-17
_[24] 웹사이트 The Status of MD5 After a Recent Attack http://ftp.arnes.si/[...] 2013-10-22
_[25] 웹사이트 How to Break MD5 and Other Hash Functions http://merlot.usc.ed[...] 2009-12-21
_[26] 웹사이트 A Study of the MD5 Attacks: Insights and Improvements http://www.cs.colora[...] 2008-07-27
_[27] 웹사이트 HAVAL-128 and RIPEMD 2008-07-27
_[28] 웹사이트 Vulnerability of software integrity and code signing applications to chosen-prefix collisions for MD5 http://www.win.tue.n[...] 2008-07-27
_[29] 웹사이트 MD5 considered harmful today http://www.win.tue.n[...] 2008-12-30
_[30] 웹사이트 Web browser flaw could put e-commerce security at risk http://news.cnet.com[...] CNET.com 2009-02-24
_[31] 웹사이트 CERT Vulnerability Note VU#836068 http://www.kb.cert.o[...] Kb.cert.org 2010-08-09
_[32] 웹사이트 NIST.gov — Computer Security Division — Computer Security Resource Center http://csrc.nist.gov[...] Csrc.nist.gov 2010-08-09
_[33] 웹사이트 Flame malware collision attack explained http://blogs.technet[...] 2012-06-07
_[34] 저널 The Status of MD5 After a Recent Attack ftp://ftp.rsasecurit[...] 2010-08-10
_[35] 웹사이트 Schneier on Security: More MD5 Collisions http://www.schneier.[...] Schneier.com 2010-08-09
_[36] 웹사이트 Colliding X.509 Certificates http://www.win.tue.n[...] Win.tue.nl 2010-08-09
_[37] 웹사이트 [Python-Dev] hashlib — faster md5/sha, adds sha256/512 support http://mail.python.o[...] Mail.python.org 2005-12-16
_[38] 잡지 Researchers Use PlayStation Cluster to Forge a Web Skeleton Key http://blog.wired.co[...] 2008-12-31
_[39] 웹사이트 This morning's MD5 attack — resolved https://blogs.verisi[...] Verisign 2008-12-31
_[40] 웹사이트 Forging SSL Certificates http://www.schneier.[...] Schneier on Security 2008-12-31
_[41] 웹사이트 A real MD5 collision http://www.rtfm.com/[...] 2004-08-17
_[42] 웹사이트 An algorithm for MD5 single-block collision attack using high performance computing cluster http://eprint.iacr.o[...] IACR
_[43] 서적 Advances in Cryptology - EUROCRYPT 2009 Springer Berlin Heidelberg 2009-04-16
_[44] 서적 2009 International Conference on Computational Intelligence and Security IEEE Computer Society
_[45] 웹사이트 Finding Checksum Values in Windows 10 https://answers.micr[...] Microsoft Community
_[46] 웹사이트 certutil https://learn.micros[...] Microsoft Learn
_[47] 웹사이트 Availability and description of the File Checksum Integrity Verifier utility https://support.micr[...] Microsoft Support 2013-06-17
_[48] 웹사이트 How to compute the MD5 or SHA-1 cryptographic hash values for a file https://support.micr[...] Microsoft Support 2007-01-23
_[49] 웹사이트 FreeBSD Handbook, Security – DES, Blowfish, MD5, and Crypt https://www.freebsd.[...]
_[50] 웹사이트 Synopsis – man pages section 4: File Formats http://docs.oracle.c[...] Docs.oracle.com 2013-01-01
_[51] 웹아카이브 NIST SP 800-132 http://nvlpubs.nist.[...]
_[52] 웹사이트 Reference Source https://referencesou[...]
_[53] 문서 RFC 1321, section 2, "Terminology and Notation", Page 2.
_[54] 문서 IETF RFC 1321, section 3.4, "Step 4. Process Message in 16-Word Blocks", page 5.
_[55] 학술지 How To Find Weak Input Differences For MD5 Collision Attacks http://eprint.iacr.o[...] 2009-05-30
_[56] 문서 MD5の安全性の限界に関する調査研究報告書 https://www.ipa.go.j[...]
_[57] 학술지 Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD https://eprint.iacr.[...] 2004-08-17
_[58] 웹아카이브 IPA:APOP におけるパスワード漏えいの脆弱性 http://www.ipa.go.jp[...]
_[59] 웹사이트 Software Integrity Checksum and Code Signing Vulnerability http://www.win.tue.n[...]
_[60] 웹사이트 MS、Flameによる偽造証明書発生で多重対策を実施 - 証明書のルート分離やWUなど強化 http://www.security-[...]
_[61] 웹사이트 Flame malware used man-in-the-middle attack against Windows Update http://nakedsecurity[...]
_[62] 웹사이트 Flame malware collision attack explained http://blogs.technet[...]
_[63] 웹사이트 マイクロソフトセキュリティアドバイザリ (2718704) http://technet.micro[...]
_[64] 문서 RFC 1321, section 2, "Terminology and Notation", Page 2.
_[65] 웹인용 MD5 considered harmful today: Creating a rogue CA certificate http://www.win.tue.n[...]

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com