이 글의 요지는 현대의 암호화방법들로 암호화된 것을 복호화 그러니까 루프돌려서 같은해쉬를 갖는 값을 찾기란 힘들다.

그래서 해쉬사전이 존재한다.

따라서 예측이 힘든 비밀번호를 영소.영대문자 숫자 특수기호를 조합해 만들자 입니다.

제가 파악한 바는 그렇습니다.

한미은행.....ㅋㅋ

한미은행이 어디에 있죠? 한국을 말씀하시는겁니까, 미국을 말씀하시는겁니까?

제가 거래하는 은행은 TCF 은행인데요...^ㅎ^

한미은행을 모르시는 것 보니 서부쪽은 한번도 안와보신듯......

You allright, you got a big thick.

모바일로 글쓰다가 두번이나 튕겨서 간략히 합니다
미국산소고기가 안전하지않을수있다는 합리적의심을 할만한 근거가 있습니다. 싼건 사실이고요.
본론으로 돌아가서, 논리를 생략하면 상대가 당신의 논리를 빈약하다고 생각할 수 있습니다. 심지어는 zero28님의 주장을 이해하지 못할 수도 있습니다.
게시판이 정말 전운에 휩싸일것이라고 생각지 않습니다. 댓글로만 논리를 주고받고 글 하나만 쓴다면 게시판이 더러워지지도 않겠지요.제대로 된 제 주장과 반박에 대한 답변 바랍니다.
언제든지 기다리고 있겠으며 저 밑에있는 제가 남긴 md5 hash를 전부 푸시면 제 주장을 완전히 접겠습니다.

d95b33de741dad8c81a29642d541f43c

6b73f24036e614c0dac6849a9a51d5c1

be5143aa0743b5ceb98e9405d2ce2413

6649c01086e0da311422d285ee556ef6

138d4f9b184b15892f68aa5c00303a26

건승을 빕니다.

저번엔 3분만에 풀 수 있다는 분도 있었는데.

제가 너무 시간을 적게 드렸나요?

위의 2분 논리가 '눈 가리고 아웅'에 지나지 않습니다

일반인은 보통 '1111'같은 극히 단순한 비번이나

'fcf3y$2Ty5w84Fo3$d&fg%^32' 이런 시리얼 보다 복잡한 비번은 쓰지 않습니다

그래도 '나는 쓴다'라고 우격다짐하셔도 그게 논리가 되지는 않아요 억지 논리는 되더라도.

무엇보다 풀 필요가 없는 걸 풀면서까지 시간 낭비하고 싶지 않아요

보통 사람은 그냥 6자리~8자리 비번을 씁니다

그냥 상식적으로 생각을 해보세요

①구시대 유물 보존을 위해 전네티즌이 다른 사이트에서는 쓰지도 못할-아이러니하게도 관공서 사이트는 매우 그러한-

입력 칸보다 넓은 16자리 해괴한 비번을 외워 쓰는 것과

②상당 부분 안전하다 판단된 암호화를 통해 8자리 정도의 암호를 쓰는 것

무엇이 경제적이고 상식적이고 아름다운 일인가

이렇게 스텝이라는 사람이 극단적인 예를 들고 와서 떼를 쓰는 게 xe에게 유리한가

위키백과까지 치명적 오류라고 공증한 쌍팔년도 해쉬가 문제 없다 우기는 게 xe에게 유리한가

뭐 하나 아름다움이 없는 ms도 정부도 전세계 어디서도 보안용으론 부적합하다는 걸 안전하다 우기는 게 xe에게 유리한가

사실 듣는 귀도 없는 xe을 위해 뭘 토론하고 싶지도 않아요 다만

얼마 안 되는 포장지로 억지 포장하고 눈 가리고 아웅 하지는 맙시다 인간적으로.

xe 장점 있습니다 그만큼 단점도 꽤 있고요 그러나 xe는 단점을 아무리 곧이 말해도 인정을 안 하고

얼마 안되는 권위로 덮거나 단점 말하는 사람을 종종 매장시키려는 습성이 있습니다

그냥 쿨 하게 문제점 인정하고 개선하도록 노력하겠다 말하면 장점이 더 빛날 수 있을 텐데도

'xe는 무결하다'는 생각에 갖혀서인지 뭔가 급급한 인상만 있을 뿐 그런 생각까지는 못 하는 모양 같네요

 md5 구린 거 구멍 많은 거 이미 세계가 다 알고 있고 지양하는 것인데 왜 문제 없다 안전하다 우깁니까?

그냥 쿨 하게 인정하고 개선하겠다 말하면 쌍방이 아름답게 끝나는 것을,

delphiXE2 외 여러 스텝 분, 왜 마무리도 안 되는 논리와 궤변으로 섣불리 정리하고 유저의 정당하고 바른 말을

짜증나듯이 앞으로 입도 뻥끗 하지 말라고 윽박지릅니까? 왜 그럽니까 도대체?

그리고 xe에는 논리와 논거가 불충분 하다 싶으면 꺼내드는 아주 식상한 카드가 있는데

'이슈가 산재하여 이런 문제는 우선 순위에서 제외 대상이다' 뭐 이런 식의 말을 남발하는 경향이 있는데

그런 말을 너무 당당하게 하는 건 아닌지? 아니 그러면 이슈가 그렇게 쌓이도록 xe는 뭘 했는지?

정식판이라고 배포하고 나서 수 년 간 한 번이라도 안정적이거나 이슈가 대폭 해결되거나 한 적이 있는지?

오히려 수도 없이 코어를 변형해가며 이슈를 더 양산해 오지는 않았는지?

그렇게 이슈 줄일 생각이 간절하면 코어나 고치지 말든가요 xe는 말과 행동이 다를 때가 한두 번이 아닙니다

결국 '이슈가 산만큼 쌓여...' 이런 말은 누워서 침 뱉기 밖에 안됩니다 그러니 지양하는 게 좋을 것입니다

음... MD5가 취약하다고 여러사람들이 말하고 있습니다...

하지만 취약한 정도라고는 너무 오래되어 '사전'을 많이 갖고있을 뿐 '암호화 된 암호문'자체가 풀린다는 말은 아직까진 없었습니다.... 풀리는 경우는 위에서 말했듯... '사전' 때문이거나 푸는 방법은 1부터 z까지 '무작위 대입법' 인데 이 두 가지 문제는 어떠한.. 아주 강력한 암호화를 쓰더라도 막을 수 없습니다.

위에서 어느분께서 말씀하셨더군요...

MD5로 생성된 암호문 중 절반이 풀렸다면 동일한 암호를 다른 암호 프로토콜로 암호화해도 비슷하게 풀립니다.

암호화 방식의 문제보다는 암호문 자체의 문제이기 때문입니다.

예를 들어 '1234'라는 암호문은 아무리 강력한 암호 생성 프로토콜을 사용하여도 반드시 풀립니다.

네 말 그대로고요... 자릿수 문제도 있지만 아직까지 그 심각성을 모르고 숫자로만 8자리 쓰시는 분도 있고, 아주 간단하게 영어 3자리 + 숫자 3~5자리 넣어 쓰는 사람도 있습니다..... 회원 D/B 중 무작위로 MD5값 들고와서 풀어보면 대부분 단순한 패턴의 경우입니다.... 누구나 다 알법한 그런비밀번호.....

저는 얼마전까지만 해도 9자리 암호문을 썼습니다... 앞에 영어 2자리 + 숫자 7자리로요... MD5라 하더라도 못풀더군요... 이 암호에서 상징적인것은 다른사람은 모를 저만 아는 것들로 이루어져 있다는 겁니다... 지금은 많이 성능이 좋아졌으니 풀겠지만요....

저는 네이트 해킹 이후로는 무서워서 16자리.... 서버나 뱅킹은 17자리로 업그레이드 했습니다... 무려 영어 8자리 + 숫자 8~9자리로요... 그리고 사이트 성격도 보안 3등급으로 나눠서 등급마다 비번다르게 했습니다....

결론.... MD5로 암호화한거 갖다줘도 못풀더랍니다......

지금 말씀하신 문제는 비단 MD5만의 문제는 아닙니다.. 다른 암호화 방식을 쓰더라도 패턴이 복잡하지 않은 단순힌 8자리를 쓴다면 공격에 당할 수도 있습니다.... 그리고 '암호화방식을 안전하게 쓴다고 해서 절대 비밀번호 패턴을 단순하게 사용할 수 있는 것'도 아닙니다. 이 점은 확실히 아셨으면 좋겠습니다..... 사이트 자체의 암호화방식보다는 단방향... 복호화가 불가능항 암호화방식인 이상 본인만 알법한.. 얼마나 복잡한 비번이냐에 따라서 비밀번호의 풀리고와 안풀리고가 결정됩니다....

물론 MD5 가 좋고 더 강력한 암호화로 바꾸는 것은 저도 찬성합니다만.... 바꾸자는 이유로 말씀하신 것이 MD5가 너무나 쉽게 풀리고 아주 critical한 취약점이 있는 듯이 말씀하셔서 덧글 달아보았습니다... MD5로 풀릴만한 암호는 상위의 암호화 방식을 취하더라도 풀려버립니다... 이 점은 알고계셨으면 합니다....

저 위에서 말씀하신 분들도 입을 막기보다는 우선 MD5가 심각하게 취약하거 잘 풀린다고 알고계시는건 일부사실에서 과장되고 왜곡된 정보라는걸 전달하기 위함이었다고 생각됩니다. 근데 그 의미가 잘못 전달 되어버린 것 같고요...

즉 말씀을 하셔도 '심각하게 취약하거나 쉽게 풀리기 때문에' 라는 이유가 아닌 다른 정확한 근거를 들어주신다면 납득이 쉽게 갈 것 같습니다..... 이제 잘 아시겠나요? ^^

아니요 잘 모르겠습니다

암호화 방식 고차원적으로 하면 패턴 단순해도 못 풀게 할 수 있습니다

그게 암호화의 백미라고 보는데요

누가 봐도 어려운 패턴 못 풀게 하는 게 암호화가 지향해야 할 점은 아니지 않습니까?

왜 그렇게 단언합니까?

6자리~10자리 md5 비번이 풀리면 sha512 비번이 100% 다 풀린다 뭘 근거로 장담하십니까?

왜 모든 유저들이 딕셔너리에서 암호를 만든다고 생각합니까?

"MD5로 풀릴만한 암호는 상위의 암호화 방식을 취하더라도 풀려버립니다"

md5가 이후에 대안으로 개발된 모든 해쉬 알고리즘과 차이 없다 말하는 겁니까?

결국 md5와 sha512가 별 차이 없다 말하는 게 아닌가요?

무슨 근거로 제겐 터무니 없어 보이는 그런 말씀을 하는지 모르겠네요

md5 취약합니다

2005년 중국의 한 학자에 의해 MD5 해시 알고리즘이 격파되었습니다 7~8년 전에요

그후 세계 암호연구영역에서는 그보다 더 안전한 SHA-256, SHA-512연산법으로 전환해야 함을 주장했고,

이런 내용은 미국 국가표준연구원에서 발표한 성명서에도 적혀 있습니다

자꾸 뭘 근거로 들라는 건지 모르겠네요 md5 취약한 건 이제 상식입니다 상식

그건 XE에서는 도입이 불가한 암호화방식이에요 예를들면 서버에서 일정key를사용해서 암호화하는 것 같이 말입니다.

그런데 서버가 털리면 더 허무하게 털리잖아요. 지금 이 상황도 db가 털렸다고 가정하는 마당에 말이죠.

단언하는 이유는 자릿수가 짧으면 짧을수록 대입하는 시간이 적어지는데요. 아무라 고수준의 암호화라 암호화 시간자체가 많이 걸린다 하여도 결국은 대입하다 보면 나오게 되어있습니다.

별차이 없는건 아니지만 시간을 통하면 결국 풀리게 되어있다는것입니다.

이 시간에도 sha-2시리즈 함수의 해쉬테이블은 만들어지고 있을걸요?MD5보다 덜 진척되었을 뿐.

제 윗분이 잘 설명해주셨으니 전 간단히 설명합니다.

6~8자리 비번의 경우 md5는 물론 sha로 암호화해도 잘 뚫릴수밖에 없습니다. 사전을 쓰지 않더라도 수백만번만 대입해보면 되는거잖아요?

md5의 결함이 복호화 가능 결함이 아니라고 누누이 말씀드렸습니다. 전혀 다른 종류의 결함이에요. 일반적인 상황에서는 잘 일어나지도 않는 해쉬 충돌이에요. 특수 알고리즘을 써야 빨리 나타날 뿐이죠.

XE에 장점만 있다는건 말도안됩니다. 저 XE 현재로서는 맘에 들지 않아요, 다만 이 문제로 맘에 들지 않는 것이 아니라는 말이죠.

제 생각엔 제가 아무리 말해도 듣지 않으시는건 zero28님이신 것 같네요. 위에 적은 이야기 몇 번은 반복해 설명해드렸죠?

마무리도 안 되고 근거도 없는 논리와 궤변으로 무장해서 공격하시지 마시고 제대로 된 공격을 해 보십시오.

저는 모든 답변을 드린 상태이나 제대로 반박조차 못하시고있는것이 현실입니다.

맨 마지막줄은 저한테 할게 아니라 개발팀에게 하셔야 할 멘트압니다. 며칠전에 밝혔듯이 저는 개발팀이 아니라고요.

그리고 예전기술이라는 점을 부각시키시려고 하는것같은데 쌍팔년도 라는 표현은 부적절합니다.^^

md5 구리고 구멍 많은 것 대체 뭔데요? 하나하나 나열해주시겠나요? 해쉬충돌 외에 없을 것 같은데요?

제가 수없이 지적드렸듯, MD5 공격이라는 용어의 정의와 MD5 구리고 구멍 많은 부분을 전부 나열 해 주시기 바랍니다,

혹시 본인이 아는 정보가 다라고 생각하는 건 아닌가 싶네요

md5 격파된 지가 8년째입니다 그 당시 입력값 출력값 차이로 인한 충돌이 있어 완전한 격파는 아니지만

분명히 크래킹이 된 것이고요 더구나 해마다 변화가 있는 시대에서 8년이나 흘렀다는 거지요 md5와 비슷한 시점에서 sha1도 깨진 사실이 있습니다

알려진 것으론 레인보우 테이블, 사전 대입법, 무차별 대입 등의 방법이 있지만

최근에는 아주 적은 노력으로도 평문을 찾는 BozoCrack 등 갖가지 방법이 개발되고 있습니다

매우 우려할 만한 수준이고요 md5는 파일 무결성 검사할 때나 써야 하는 너덜너덜한 구식 알고리즘이라고요

내가 여기서 논문이라도 써야 합니까? 암호 영역에서는 상식인 일 갖고

일개 회원이 짬을 다 짜내어 delphiXE2 씨에게 보고서 제출을 해야 합니까? 왜 그래야 합니까?

만약 그리하면 열 번 사죄하고 당장 반영하겠다 약조할 수 있습니까?

개발진도 아니라면서요?

그리고 말이 나와서 말인데

'xe 이슈가 산재해서 이슈가 다 해결된 다음에 적용하겠다'와 같은 말은 말 자체도 좀 같지 않지만

그런 말 따위는 개발진이나 할 수 있는 말 아닙니까? 왜 본인의 권한을 넘어선 발언을 쉽게쉽게 하는지? 

격파의 의미를 제대로 설명해 주세요. 정말 모호합니다.

게다가 sha가 결함이 밝혀졌다기보다 제가 알기로는 위험이 있을수 있다 수준이고요.

제가 언제 적용하겠다는 말 한적 있습니까 ㅎㅎ

그저 zero28님에게 드리고싶은말은 비약과 왜곡을 덜 해 주십사 부탁합니다.

저도 일개 회원인데 굳이 전부 반박하는 이유는 제대로된 근거를 갖지않고 회원에게 불안감만 유발한다는겁니다.

생각해보면 md5를 XE만 쓰는것도 아니고 말이죠

해당 방법이 개발되고 있다면서요? 제가 남겨놓은 해쉬의 원값이나 찾아보시지 말입니다.

bozocrack은 보니 자세히는 몰라도 구글링을 대신 해주는 스크립트인 것 같군요.

레인보우 테이블은 해쉬테이블이고요.

다시 말하지만 chosen prefix에서 collision은 존재하지만 다른것은 없다는 점은 분명히 해둡시다.

ㅎㅎ zero28님 혹시 컴퓨터 보안에 대하여 제대로 알고 계신지 모르겠습니다. ^^ 쓰신 글을 보아하니 MD5가 무엇인지 SHA가 무엇인지 제대로 알고 계신 것 같지도 않은데 지금 쓰고 계시는 댓글들은 상당히 공격적이네요. 자제해 주세요.

MD5든 SHA든 암호화 되는 방식은 원래 모두 공개되어 있습니다. 그렇기 때문에 PHP에서 md5()함수를 써서 암호화를 할 수 있는 것이죠.

암호화의 꽃은 원리는 공개되되 키값이 맞지 않으면 복호화가 불가능하다 입니다.

네, XE 개발팀에서 세계적인 암호학자, 아니 암호학의 대부의 고조할아버지께서 오셔서 특별한 암호알고리즘을 사용했다고 합시다.

근데 XE는 오픈소스 프로그램이기 때문에 어차피 알고리즘은 세간에 다 달려지게 됩니다.

결국 어떤 암호화 방식을 사용하든 소스 공개되고 DB 털리면 Brute Force Attack을 이용해서 다 뚫을수 있다는 것이죠.

그렇기 때문에 사용자들에게 강력한 암호를 요구하는 것은 필가결합니다.

zero28님의 요구를 충족하려면 public key를 이용한 암호화를 해야 하는데 싸이트 하나 가입하려고 공인인증서 때는 사람은 없다고 생각합니다.^^

아... 애초에 XE는 오픈소스이고 저희들은 이런 CMS가 공짜로 공개된다는 사실에 감사해야함에도 불구하고 구구절절 불평하시는 zero28님이 이해가 안되네요. 꼬우시면 직접 개발팀에 뛰어드시던가요.ㅎ

한국정보보호진흥원을 포함 수많은 나라에서 MD5,SHA1 해시 알고리즘이 깨졌다고 보고 있고

대안으로 SHA256, SHA512 알고리즘으로 변경하도록 권고하고 있습니다

무슨 말을 더합니까?

delphiXE2 씨의 주장이 미국국가표준연구원, 한국정보보호진흥원, 국제사회의 발표/권고보다

더 설득력 있다 생각합니까? 지나친 아집과 오만 아닙니까?

zero28 님의 사이트가 있다면, 어떤걸 쓰시나요? xe?

제가 그럼 KISA에 문의해 당장 바꿔야 할 긴급사안인지 명절후 문의하도록 하죠.

다른 커뮤니티에도 의견을 구해보도록 하겤ㅅ고요.

뭘 명심해요 criuce 씨. 암호화는 데이터 지킬려고 하는 겁니다 댓글 전에 생각 좀...

kisa가 그랬는지 어쩐지는 잘 모르겠으나 액티브x 더덕더덕 깔게 하는 kisa가 만약 그랬다면 망조네요

그리고 위에 델파이xe 분 자꾸 자기 암호 깨달라고 치기 부리시는데 그쪽 암호 관심 없어요

무슨 보상이라도 걸든가요 왜 내가 시간 낭비를 합니까 취미에도 없는 해킹 같은 걸 하면서.

그런 말은 논리도 아니니 앞으로 마세요 비웃음만 삽니다 이 댓글까지만 비웃음 참아요

md5 무결하다 징하게 쉴드 치고 변호하시는데 그럼 델파이xe 씨 데이터나 평생 md5로 하든가요

나는 다른 관리자가 불특정 다수의 정보를 빼낼까 불안하다 말입니다

도라미 씨 글 보면 얼마나 쉽고 빠르게 유출하는가가 바로 나오는데 sbs뉴스로도 보도됐고,

컴퓨터 좀 하는 초딩까지도 가능한데요

뭘 자꾸 증명하라고 우깁니까 이미 구멍은 드러나 있어요 관리자는 회원 정보의 주인이 아닙니다

우길 걸 우기고 쉴드 칠 걸 쳐야지, MS고 국제 기관이고 쓰지 말라고 권고하면 말 들으면 되지

말하면 증명하라고 하고 또 말하면 증명하라고 하고. 왜 초등학생 논리처럼 그럽니까

우물 안 개구리처럼 안전하다 우겨요 우기길.

그리고 어디서 일했는지 모르겠지만 암호전문가 아니면 서로 별다를 것 없는 입장인데,

소속과 직책 주요 업무나 포트폴리오 공개할 거 아니면 되도 않는 경력 들이밀지 맙시다

이젠 좀 식상하려고 하니까요

게다가 국제 사회 발표/권고도 개무시할 만큼의 권위자는 이곳에 절대 없다고 보는데요

더구나 기적처럼 있다 해도 그런 자가 해묵은 md5옹호라니 우스꽝스런 일이 아니겠나요

님아, MD5 가 불안하면 옛날에 제로보드는 뭡니까?  제로보드 자체가 ㅂ ㅅ 인데 MD5 hash 써서 뭐하게요? 그냥 암호 text 로 저장해 놓지.

왜 다들 무조건 MD5 탓을 하는지... MD5 hash crack 하기전에 php vuln 을 찾아서 shell 올려놓으면 끝인데?  hash 를 crack 해야 관리자로 로그인이 가능한게 아니에요.  그 hash value 자체로 로그인이되요.  그러니까 암호를 몰라도 shell 로 access 해서 관리자 비번  hash 만 뽑으면 되는겁니다.  그걸 crack 할 이유가 없는거에요.

지금 이 post 가 정리가 안되는게, 다들 개념정리가 안되서 그런거에요.  MD5 hash 는 웹사이트를 지켜주는게 아니라, 그 웹사이트에 중요한 정보 (예를 들자면 주민등록번호등) 를 지켜주는거에요.  그리고 주민등록 번호는 어떤 방식으로 encrypt 해도 crack 이 되고.  MD5  잘못이 아니에요.

보안이 그렇게 중요하면 우선 아파치 서버를 쓰지 말고, php 를 안쓰면 됩니다.

보상은 제 논리가 잘못되었다는 걸 인정 해 드리죠.

그게 불안하면 그렇게 찬양하는 SHA512로 암호화 하시던가 말이죠.

참고로 그 3분짜리 SBS 뉴스 보도는 조작으로 판명되었습니다.

컴퓨터 좀 하는 초딩이 하려면 일단 시간이 몇년이 필요해서 비번 하나 뚫겠군요.

자신의 주장에 대해 근거가 없으면 원래 말하지 않아야 하는겁니다. 상대가 근거를 원하는데 근거를 대지 못하면 그건 자기의 추측.소설일 뿐이죠.

굳이 원하면 암호학 전공한테 물어볼까요?

동감합니다.

그냥 서버안전이나 챙기는게 먼저라고 생각합니다. 물론 전 개인정보를 수집하지도 않아요..

비번 뚫는데 시간을 소비하느니 서버를 해킹하겠죠..

이것도 잘못된게 서버해킹되어 DB가 유출되어야 패스워드를 plain text로 시간들여 바꿀텐데 말이죠.

XE를 항상 최신으로 유지하는게 좀더 현실적일거 같아요.. 제생각은요.

이제 이 논란에 대해 더이상 코멘트하기 지쳤습니다. 암호학 전공한테 물어봐야 하나. 슬슬 짜증이 밀려오는군요.

Nanni Bassetti 라고 digital forensic 전문가이신데,  http://www.nannibassetti.com/dblog/ 이분한테 물어보세요.  어떻게 유사한 hash (물론 매우 유사해야 합니다.) 로도 로그인이 가능한지... 이분이 개발한 방법이라, 저도 잘 몰라요.  사용자는 이론은 잘 모릅니다.  그냥 tool 을 사용할 뿐이지....

MD5 hash collision 까지는 이해했는데 그 이상은 저도 이해불가. "hash collision 을 반대로 생각해봐라" 는 개뿔.  반대로 생각해도 전혀 이해가 안됨.   제가 머리가 나빠서 그런가보죠.  -..-;; 

오우~ 헤더까지 비교하시는 꼼꼼함. ^^

XE의 업로드 기능 훑어봤는데 상당히 믿을만 하더군요. ^^