[Openstandaarden] [OT] e-id (nog eens)
Geert Hendrickx
geert.hendrickx at ua.ac.be
Mon Jun 20 10:29:42 CEST 2005
On Mon, Jun 20, 2005 at 10:01:53AM +0200, Geert Uytterhoeven wrote:
> Hashes op binaries zijn niet betrouwbaar (cfr. de MD5 collision die ik
> gisteren postte), tenzij je de binary _zelf_ hebt gemaakt. Potentieel
> kan iemand (intern bij e-ID) dus 2 versies van de firmware maken die
> dezelfde hash geven.
In theorie, ja. Maar dat kon altijd al. Er zijn inderdaad al strings
met samenvallende hashes geproduceerd, maar in de praktijk zal het zeer
moeilijk, nagenoeg onmogelijk, zijn om twee werkende binaries, met bijvb
dezelfde grootte te genereren, die ook nog hetzelfde (lijken te) doen,
met samenvallende hashes. Dus hier ben je nogal paranoide IMHO.
GH
--
:wq
More information about the Openstandaarden
mailing list