มีความพยายามอย่างน้อยสองครั้งที่ประสบความสำเร็จในการสร้างภาพ GIF ที่แสดงแฮช MD5 ของตนเอง:
แฮชควินโดย spq
Hashquine โดย Copyheart Rogdham
คุณสามารถดาวน์โหลดทั้งสองไฟล์และตรวจสอบว่าไฟล์ md5sum
แฮชเท่ากับแฮชที่แสดงในภาพ
สิ่งเหล่านี้ขึ้นอยู่กับความจริงที่ว่าการชนกันของ MD5 นั้นเกิดขึ้นได้ง่ายในปัจจุบัน และข้อเท็จจริงที่ว่ารูปแบบ GIF เป็นลำดับของเฟรม GIFs ประกอบด้วยข้อมูลภาพเคลื่อนไหว 32 ชิ้น แต่ละอันจะคำนวณเป็น 16-way MD5 multicollision นั่นคือมี 16 อันที่แตกต่างกันซึ่งสร้างแฮชเดียวกัน แต่แสดงเลขฐานสิบหกที่แตกต่างกัน ดังนั้น GIF จึงถูกสร้างขึ้นโดยการคำนวณและเชื่อมโยงการชนกันแบบ 16 ทางทั้ง 32 รายการเข้าด้วยกัน คำนวณแฮชที่เป็นผลลัพธ์ของไฟล์ จากนั้นเลือกชิ้นที่สร้างผลลัพธ์ที่ต้องการกล่าวอีกนัยหนึ่ง ความยืดหยุ่นของรูปแบบ GIF และจุดอ่อนของ MD5 ทำให้สามารถเลือกแฮชที่แสดงได้ครั้งละหนึ่งหลักโดยไม่กระทบต่อแฮชของไฟล์ภาพ
โดยหลักการแล้ว ผลลัพธ์ที่คล้ายคลึงกันสามารถทำได้สำหรับฟังก์ชันแฮชอื่นๆ ตราบเท่าที่มันทำให้เกิดการชนกันได้ง่าย ตัวอย่างเช่น การทำเช่นนี้กับกลุ่มแฮช CRC จะเป็นเรื่องง่าย เนื่องจากง่ายต่อการชนกัน (เพียงแค่แก้สมการเชิงเส้น) อย่างไรก็ตาม สำหรับฟังก์ชันแฮชที่ป้องกันการชนกันในปัจจุบัน เช่น SHA-256 นั้นเป็นไปไม่ได้ในการคำนวณ
รูปแบบไฟล์อื่นๆ สามารถถูกโจมตีด้วยวิธีนี้ได้เช่นกัน ตัวอย่างเช่น ฉบับที่ 14 ของวารสาร PoC||GTFO แสดงแฮช MD5 ของตัวเองบนหน้าปกของ PDF: https://www.alchemistowl.org/pocorgtfo/pocorgtfo14.pdf. PostScript และแม้แต่รูปแบบ NES ROM ก็สามารถถูกโจมตีได้เช่นเดียวกันด้วยเทคนิครูปแบบไฟล์ อ่านวารสารสำหรับรายละเอียดทางเทคนิคเพิ่มเติม