เป็นไปได้หรือไม่ที่จะใส่แฮชไดเจสต์ในรูปภาพ โดยที่แฮชของรูปภาพนั้นเป็นไดเจสต์เดียวกัน
เมื่อเราวาดข้อความของแฮชในภาพ แน่นอนว่าเราจะเปลี่ยนแฮช ของ ภาพในเวลาเดียวกัน เนื่องจากอย่างที่เราทราบ การเปลี่ยนแปลงเพียงเล็กน้อยกับอินพุตของฟังก์ชันแฮชทำให้เกิดการเปลี่ยนแปลงที่สำคัญในเอาต์พุต
ฉันทราบด้วยว่าฟังก์ชันแฮชนั้นไม่สามารถย้อนกลับได้
ฉันคิดเรื่องนี้ในขณะที่เรียนรู้การประมวลผลภาพ ฉันต้องการใส่ข้อความที่มีค่าของแฮชรูปภาพใกล้กับด้านบนของรูปภาพ
มีวิธีแก้ไขเพื่อให้บรรลุวัตถุประสงค์ของฉันหรือไม่?
มีวิธีแก้ไขอย่างไรเพื่อให้บรรลุวัตถุประสงค์ของฉัน?
เราสามารถจัดรูปแบบคำถามของคุณให้เป็นรูปแบบทั่วไปได้ดังนี้
ค้นหาข้อความที่มีแฮชอยู่ภายใน $$\text{digest-value} = \operatorname{Hash}(\text{บางส่วน| ค่าย่อย | ส่วนอื่นๆ)})$$
เมื่อคุณเปลี่ยนข้อความ ค่าแฮชจะเปลี่ยนไป สิ่งนี้ไม่สามารถทำได้ด้วยฟังก์ชันแฮชการเข้ารหัสเนื่องจากการค้นหาอยู่เหนือสิ่งอื่นใด
คุณสามารถทำอะไรได้บ้าง;
หากเป็นข้อความแฮชจริงๆ 16 ค่าฐานสิบหกจากนั้นคุณพยายามอย่างเต็มที่ $2^{64}$ ค่าที่ตรงกัน เราอาจถือว่าคุณใช้ SHA-256 และตัดแต่งผลลัพธ์ ข้อเสียคือสิ่งนี้ เราไม่รู้ว่า SHA-256 ที่ตัดแต่งแล้วจะบรรลุค่าทั้งหมด
ถ้าใครแฮช $2^k$ ค่าและการตัดแต่งเพื่อ $k-บิต$ จากนั้นเนื่องจากการคาดหวังการชนกันโดยความขัดแย้งวันเกิด เราไม่คาดหวังว่าค่าทั้งหมดจะเกิดขึ้น
ดังนั้นสิ่งนี้อาจไม่มีวิธีแก้ปัญหาสำหรับทุกภาพ สิ่งนี้ยังต้องใช้งานอีกมาก
หากข้อความแฮชมีขนาดจริง จะไม่สามารถดำเนินการตามข้างต้นได้
ใช้บางส่วนของภาพซึ่งคล้ายกับกระดาษ PUF พวกเขาสกัดพื้นผิวของกระดาษด้วยเครื่องสกัดแบบฟัซซี จากนั้นจึงเซ็นกระดาษในส่วนที่ไม่ได้ทำการสกัด
ใช้ส่วนของรูปภาพเพื่อคำนวณค่าแฮช จากนั้นพิมพ์ค่าแฮชในส่วนที่ไม่ได้คำนวณแฮช
ใช้ภาพซ้อนกัน. เลเยอร์หนึ่งประกอบด้วยรูปภาพที่สามารถแฮชส่วนทั้งหมดได้และเลเยอร์บนสามารถมีค่าได้
ผู้ใช้อาจประมวลผลเลเยอร์ได้ยาก แต่คุณสามารถใช้เทคนิคการเขียนโปรแกรมเช่นในหน้าเว็บ สามารถเพิ่มข้อความบนรูปภาพด้วย HTML และ CSS.
จุดประสงค์ของฉันคือทำให้บางคนง่ายขึ้นโดยที่พวกเขาไม่ต้องแฮชด้วยตนเอง
ทำไมพวกเขาไม่จำเป็นต้องแฮชด้วยตนเอง แล้วแฮชมีประโยชน์อย่างไร ผู้โจมตีไม่สามารถส่งรูปภาพด้วยค่าแฮชของไฟล์เพื่อให้ผู้ใช้เชื่อได้ใช่หรือไม่ นี่ไม่ใช่แนวปฏิบัติด้านความปลอดภัยที่ดีเลย ให้ผู้ใช้คำนวณแฮชได้แม้กระทั่งตรวจสอบลายเซ็นดิจิทัลที่คุณเซ็น
มีความพยายามอย่างน้อยสองครั้งที่ประสบความสำเร็จในการสร้างภาพ GIF ที่แสดงแฮช MD5 ของตนเอง:
คุณสามารถดาวน์โหลดทั้งสองไฟล์และตรวจสอบว่าไฟล์ md5sum แฮชเท่ากับแฮชที่แสดงในภาพ
สิ่งเหล่านี้ขึ้นอยู่กับความจริงที่ว่าการชนกันของ MD5 นั้นเกิดขึ้นได้ง่ายในปัจจุบัน และข้อเท็จจริงที่ว่ารูปแบบ GIF เป็นลำดับของเฟรม GIFs ประกอบด้วยข้อมูลภาพเคลื่อนไหว 32 ชิ้น แต่ละอันจะคำนวณเป็น 16-way MD5 multicollision นั่นคือมี 16 อันที่แตกต่างกันซึ่งสร้างแฮชเดียวกัน แต่แสดงเลขฐานสิบหกที่แตกต่างกัน ดังนั้น GIF จึงถูกสร้างขึ้นโดยการคำนวณและเชื่อมโยงการชนกันแบบ 16 ทางทั้ง 32 รายการเข้าด้วยกัน คำนวณแฮชที่เป็นผลลัพธ์ของไฟล์ จากนั้นเลือกชิ้นที่สร้างผลลัพธ์ที่ต้องการกล่าวอีกนัยหนึ่ง ความยืดหยุ่นของรูปแบบ GIF และจุดอ่อนของ MD5 ทำให้สามารถเลือกแฮชที่แสดงได้ครั้งละหนึ่งหลักโดยไม่กระทบต่อแฮชของไฟล์ภาพ
โดยหลักการแล้ว ผลลัพธ์ที่คล้ายคลึงกันสามารถทำได้สำหรับฟังก์ชันแฮชอื่นๆ ตราบเท่าที่มันทำให้เกิดการชนกันได้ง่าย ตัวอย่างเช่น การทำเช่นนี้กับกลุ่มแฮช CRC จะเป็นเรื่องง่าย เนื่องจากง่ายต่อการชนกัน (เพียงแค่แก้สมการเชิงเส้น) อย่างไรก็ตาม สำหรับฟังก์ชันแฮชที่ป้องกันการชนกันในปัจจุบัน เช่น SHA-256 นั้นเป็นไปไม่ได้ในการคำนวณ
รูปแบบไฟล์อื่นๆ สามารถถูกโจมตีด้วยวิธีนี้ได้เช่นกัน ตัวอย่างเช่น ฉบับที่ 14 ของวารสาร PoC||GTFO แสดงแฮช MD5 ของตัวเองบนหน้าปกของ PDF: https://www.alchemistowl.org/pocorgtfo/pocorgtfo14.pdf. PostScript และแม้แต่รูปแบบ NES ROM ก็สามารถถูกโจมตีได้เช่นเดียวกันด้วยเทคนิครูปแบบไฟล์ อ่านวารสารสำหรับรายละเอียดทางเทคนิคเพิ่มเติม
มีเวลาที่เป็นไปได้ Internet Explorer (สยองขวัญ) ยอมรับไฟล์ WMF เป็นไฟล์รูปภาพ ต้องขอบคุณบางสิ่งที่ได้รับการออกแบบในรูปแบบไฟล์ สิ่งนี้ไม่เคยปลอดภัยเลย ภาพสามารถเรียกใช้รหัสโดยอำเภอใจเป็นส่วนหนึ่งของการแสดงภาพ ดังนั้น วิธีแก้ไขคือให้ไฟล์คำนวณแฮชของตัวเอง ณ เวลาเรนเดอร์ และวางทับบนส่วนที่เหลือของภาพ
https://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
ฉันรู้ว่านี่ไม่ใช่คำตอบที่คุณต้องการ แต่นั่นคือสิ่งที่เป็นอยู่ คำตอบที่แท้จริงสำหรับแฮช crypto นั้นเป็นเรื่องยาก อัลกอริทึมแฮชของการเข้ารหัสลับได้รับการออกแบบมาเพื่อให้คุณไม่สามารถทำได้ และนั่นคือประเด็น หากคุณทำสิ่งนี้กับข้อมูลคงที่ได้ แฮชก็ไม่สามารถทำสิ่งที่ออกแบบมาให้ทำได้
เมื่อพิจารณาแล้ว การทำงานแบบ Quine เพียงพอ และคุณอาจได้รับ postscript หรือไฟล์ PDF ที่ทำสิ่งนี้ได้ มันค่อนข้างจะรบกวนชุมชนความปลอดภัยจนกว่าพวกเขาจะรู้เคล็ดลับ
นี่เป็นหนึ่งในกรณีที่คำตอบทางคณิตศาสตร์และคำตอบ CS ค่อนข้างแตกต่างกัน รับแฮชที่ปลอดภัยด้วยการเข้ารหัส:
จากมุมมองทางคณิตศาสตร์ เมื่อกำหนดไฟล์ f และวิธีการรวมไฟล์และแฮชที่ตายตัว เราควรคาดหวังโอกาส 1/e ที่จะมีแฮช h อย่างน้อยหนึ่งแฮช ซึ่งแฮชของ h รวมกับ f คือ h ถ้าเราเปลี่ยนวิธีการรวม (ใส่ที่มุมบนซ้ายแบบสัมบูรณ์, ใส่ที่มุมขวาบน, ใส่ที่มุมบนซ้ายแต่เลื่อนไปทางขวาหนึ่งพิกเซล ฯลฯ) ความน่าจะเป็นจะเข้าใกล้ 1 อย่างรวดเร็ว .
จากมุมมองของ CS จำนวนการคำนวณที่คาดหวังจะเป็นสัดส่วนกับจำนวนเอาต์พุตแฮชที่เป็นไปได้ สำหรับแฮชที่มีขนาดเหมาะสม นั่นคือการคำนวณจำนวนมากอย่างเหลือเชื่อ จำนวนการคำนวณที่จำเป็นจะเทียบได้กับจำนวนที่จำเป็นในการรับไฟล์ที่มีแฮชเท่ากับแฮชที่เลือกไว้ล่วงหน้า หากคุณสามารถทำเช่นนี้ได้ ผู้คนจะเริ่มกังวลทันทีว่าคุณทำแฮชไม่สำเร็จด้วยวิธีใดวิธีหนึ่ง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
