If you’re unfamiliar with MD5 checksums (or MD5sums for short), they are simply a string of numbers (“hashes“) generated when each file is scanned, to be used to later verify the integrity of the data. You may have noted when downloading Linux .iso images or similar that there either was a text file with it – usually with the same suffix as the main file, but with perhaps an .md5sums extension – or the actual hash below the download link.

Also, you probably know you can check your Ubuntu CD for defects while at the boot menu, but since that just looks to an md5sum.txt file (most common name on Linux live CDs), you can also do so in Ubuntu via the terminal. So, for example, if you’ve burned a copy of the latest Ubuntu (or other Linux distro) live CD for a friend, you can simply open a terminal and check it without having to reboot.

But the most important use of the md5sum command is to create data verification for folders on your drive, as well as data CDs and DVDs, and even video DVDs. If you just wanted to periodically make sure no files are corrupt in a given folder (or whole drive if you want), this is the way to go. If you have a whole bunch of things in a folder you want to burn to a data disc, then the checksum file you create will let you check the disc for defects.

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

So when you want to create the checksums, open a terminal in that folder and enter the following:

find -type f -exec md5sum “{}” \; > md5sum.txt

Note that this will also create a hash for the file itself, ie:  md5sum.txt, which will produce an error when checked, since it was generated while the file was still being created:

md5sum: WARNING: 1 of 103 computed checksums did NOT match

When you scroll up the terminal to see the cause of the error, you’ll find:

./md5sum.txt: FAILED

You will need to manually edit out the line for md5sum.txt, and if the file is really large, just hit Ctrl+F and search for md5, and it will take you to the line you need to delete.

Once that’s done, you can verify the folder/drive any time you wish. With discs, it isn’t limited to data, or rather since the .vob files etc of a DVD are data, you can generate the md5sum.txt in the parent folder of the title (ie: the one VIDEO_TS resides in) and check movies as well as data backups.

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

To check a folder, open a terminal there and enter:

md5sum -c md5sum.txt

To check a disc that has that file, including the likes of the Ubuntu CD, you’ll need the terminal pointing at the disc. But rather than open a folder window and choose Open in Terminal from the context menu, you can do that via any open terminal and incorporate the checking command above with:

cd /media/cdrom0 && md5sum -c md5sum.txt

Occasionally systems don’t have cdrom0 as the device name for the disc drive, so when you open a terminal there the other way, make note of the device name and alter the last command accordingly.

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

When the check is over, if there are any errors, it will tell you how many failed the test out of how many listed. In the following example, you are actually presented with two errors at the end, the first complaining of a missing file, the other reporting one that seems to be corrupt:

md5sum: WARNING: 1 of 102 listed files could not be read
md5sum: WARNING: 1 of 101 computed checksums did NOT match

You can then scroll up the terminal if need be and find those that didn’t pass:

md5sum: ./Wallpaper01.jpg: No such file or directory
./Wallpaper01.jpg: FAILED open or read
./Wallpaper002.jpg.jpg: FAILED

In this example, “Wallpaper01.jpg“ is seen as “missing”, because it was in fact renamed to “Wallpaper001.jpg“ (to keep in line with the 3-digit numbering of the rest of the files) after the checksum was created (so “Wallpaper001.jpg“ is totally ignored, since there was no hash created for it, and “Wallpaper01.jpg“ is seen as missing, since there is no longer a file of that name). “Wallpaper002.jpg“ is probably corrupt, though not all files that do not pass the test fail to open (but, generally, the case is that the file is corrupt, and the larger the file, the  more chance there is of that).

Otherwise, if all you see is the command prompt with the last file above it with an OK next to it, then all is fine:

./Wallpaper100.jpg: OK

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

To make all this easier, make command aliases, like make5 (to generate an md5sum.txt file), 5 (to check a folder) and cd5 (to check a disc that can be verified). This will save you memorising and typing long commands, or even copying and pasting from a text file of commands you’ve probably got (if you’re clever).

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

To check a disc image or other file you’re downloading that has a checksum listed, you can generate a checksum, and simply compare the output with what is listed on the website:

md5sum name_of_the_image.iso

Obviously, you’ll need to replace the name in the example with the actual name of the file, but to save typing it if it is long, you can just enter md5sum (followed by a space), drag the downloaded file to the terminal and drop it there, then hit Enter (though you can, of course, just copy the file’s name as well). Then, as I said, simply compare the numbers in the terminal and website.

Now, if you’re downloading a bunch of stuff, all with checksums supplied, you can create your own master checksum file, which will check them all in one go when you’re ready. Syntax is very important, so the lines should look like this:

8790491bfa9d00f283ed9dd2d77b3906 *ubuntu-9.10-desktop-i386.iso
3faa345d298deec3854e0e02410973dc *ubuntu-9.10-alternate-i386.iso
dc51c1d7e3e173dcab4e0b9ad2be2bbf *ubuntu-9.10-desktop-amd64.iso

In this example, Ubuntu CDs are used, but they can be anything, as long as you lay it out like that. You can name the file what you want, but if you want to stick with tradition, and to make it easier to check  (via the command above, or its alias 5), name it md5sum.txt. And you can use this before you get all the files, as when you run the check, it will just tell you 2 out 0f 3 couldn’t be found (and you’ll see the one you did download listed, hopefully with an OK next to it).

If you name the checksum file something different, or in the case of the Ubuntu discs downloaded a master checksum file for all images, and it has a name like Ubuntu 9.10.MD5Sum (though that’s the name I actually gave it), it doesn’t matter. You can just enter md5sum -c (followed by a space), then either type the name of the file, or drag the file to the terminal. Note you can also do this with the alias 5 – it will complain it didn’t find md5sum.txt, but then go on to verify the files recorded in Ubuntu 9.10.MD5Sum (or whatever your file is called). Of course, you could just rename the checksum file to md5sum.txt, but as you can see, you don’t really need to.

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

When you’re going to backup a folder to DVD, always run a check on it first. That way, if you’ve done something like renamed a bunch of files after the md5sum.txt file was created, you’ll know before burning a disc that will always come up with those “errors”. You can then either generate new checksums, or open md5sum.txt and replace the old names with the new ones (renaming files does not alter their checksum hashes, so you do not need to generate new ones for them).

•∞∞∞θθθθθθθθθθθθθθθθθθθθθ∞∞∞•

So, hopefully that’s all you need to get you going in setting up some data verification, which comes in handy when wanting to make sure all the data on a DVD is valid before passing it on, or deleting the copies off your hard drive if archiving. And now that you know what those hashes or .md5 files are on websites, make sure you grab them, so you can verify the integrity of your downloads. And if you set up those aliases, all of this becomes even simpler, as those names are short and easy to remember.

Es algo bastante extendido en Internet. MD5 y SHA1 sirve para comprobar la integridad de un fichero.

Es decir si ese fichero ha podido ser modificado o no.

Naturalmente es un tema bastante importante ya que, con este tipo de métodos podemos verificar que realmente estamos descargando y usando algo que proviene de la fuente original y no ha sido modificado por terceros.

Empezaremos por MD5 de echo es el más conocido y extendido por Internet.

Que es MD5?

Es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts). Fue desarrollado en 1991 como reemplazo del algoritmo MD4 después de que Hans Dobbertin descubriese su debilidad.A pesar de su amplia difusión actual, la sucesión de problemas de seguridad detectados desde que, en 1996, Hans Dobbertin anunciase una colisión de hash plantea una serie de dudas acerca de su uso futuro.

Como comentaba antes, MD5 es el sistema más utilizado.

Comprobando MD5 en Windows

Veamos un ejemplo:

Nos queremos descargar una ISO de Debian, por ejemplo vamos a la página de descargas.

Pagina de descargas de Debian

Nos descargamos la ISO.

La página de descargas ya nos ofrece un fichero para comprobar las firmas que es este:

Fichero MD5

Vamos a sacar el MD5 de la imagen del CD de Debian en Windows. Yo lo he echo con el programa MD5SUM.

Lo podemos descargar de aqui:

MD5SUM

Después de descargarlo y probarlo nos sale esto:

Como veis nos da el hash, ahora vamos a comprobarlo con el hash que nos ofrecen:

Si miráis en la web que os he pasado antes la de Fichero MD5. Podemos ver que la firma ofrecida y la que hemos comprobado son iguales. Es decir, la ISO que tenemos es totalmente original.

Comprobando MD5 en Ubuntu:

Primero de todo instalaremos un paquete que nos hace falta:

sudo apt-get install sleuthkit

Instalamos el paquete y ya podemos comprobar la integridad del fichero.

Con esto obtenemos el hash MD5 en Ubuntu

Comprobando MD5 en MAC OS X

En MAC utilizaremos una herramienta que nos comprueba el hash, lo podemos encontrar aquí:

MD5

Lo utilizamos y calculamos el hash MD5 que queramos:

Ahora vamos por el SHA1.

Aunque no tan utilizado como el MD5, se tiende a migrar ya hacia el SHA1.

es un sistema de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (llamándose SHA-2 a todos ellos).

Vamos a ver como podemos comprobar la firma SHA1.

En la misma imagen de Debian.

Primero vemos como la página nos ofrece las firmas de hash

Hashes SHA1

Comprobando firmas sha1 en Windows

Para hacer la comprobación de sha1 nos tenemos que descargar el ejecutable, lo podemos encontrar aqui:

Sha1sum

Lo ejecutamos y comprobamos la firma

Ya tenemos nuestra firma SHA1 que podemos comprobar con nuestro fichero.

Comprobando Sha1 en Ubuntu.

Con el paquete que instalamos antes no haría falta instalar nada más.

Miremos como se hace:

Ya tenemos nuestra firma en sha1.

Comprobando Sha1 en MAC OS X

Por último en mac, para hacerlo utilizaremos la librería de openssl +sha1

veamos el comando sería así:

/usr/bin/openssl sha1 fichero

Asi que veamos un ejemplo:

Y hasta aquí todo, espero que desde ahora vigiléis lo que os bajais.

Saludos

Ściągnęliśmy plik z internetu np. obraz iso z dystrybucją systemu Linux. Na stronie mamy podany skrót md5, dzięki któremu możemy sprawdzić po pobraniu czy plik nie uległ zmianie lub też można sprawdzić posiadając wcześniej wygenerowaną sumę kontrolną da się wykonać sprawdzenie czy plik nie został zmodyfikowany. Do tego celu posłużymy się poleceniem md5sum.Polecenie to nie posiada zbyt wielu opcji, ale warto te opcje omówić:

-b – każdy plik, który jest odczytywany jest odczytywany w trybie binarnym. Natomiast w systemach GNU nie ma to znaczenia.

-t – każdy plik, który jest odczytywany jest odczytywany w trybie tekstowym. I podobnie jak w opcji -b w GNU nie ma to znaczenia

-c – opcja ta służy do sprawdzenia czy plik i jego suma kontrolna są zgodne. Do tej opcji wykorzystujemy plik, który zawiera sumę kontrolną oraz nazwę pliku, z którego ta suma została utworzona

–quiet – opcja ta jest przydatna tylko z opcją -c, jeżeli plik, którego suma kontrolna zgadza się z sumą kontrolną z pliku to nie zostanie wyświetlony żaden komunikat

-w – opcja przydatna tylko z opcją -c, sprawdza poprawność linii w pliku z sumami kontrolnymi

Skoro opcje mamy już za sobą postaram się pokazać tak naprawdę z czym to się je:

md5sum plik_testowy

Powyższe polecenie da w wyniku skrót md5 oraz nazwę pliku dla jakiego skrót został wykonany. Wynik może wyglądać następująco:

9eea4f076476a4fab41a647adfb0a471  plik_testowy

Teraz utworzymy plik z sumą kontrolną pliku, dzięki temu będziemy mogli korzystać z opcji -c.

md5sum plik_testowy > plik_testowy.md5

Plik będzie oczywiście zawierał takie same dane jak po wpisaniu polecenia md5sum plik_testowy. Nazwa pliku ze skrótem md5 może być dowolna, podobnie jak rozszerzenie.

md5sum -c plik_testowy.md5

W wyniku tego polecenia powinniśmy otrzymać potwierdzenie, że suma kontrolna wykonana z pliku o nazwie “plik_testowy” zgadza się z sumą kontrolną zapisaną w pliku “plik_testowy.md5“.

md5sum --quiet -c plik_testowy.md5 

Teraz w przypadku poprawnych sum nie zostanie wyświetlony żaden komunikat.

md5sum -w -c plik_testowy.md5

Jeżeli na przykład zostanie dopisane coś przed linią zawierającą skrót md5 oraz nazwę pliku (taki celowy błąd), to dzięki tej opcji zostanie wyświetlony odpowiedni komunikat informujący o błędzie.

Zachęcam do komentarzy oraz do przeczytania podręcznika systemowego (man md5sum, info md5sum).

HashTab es un programa que añade una pestaña en la opción Propiedades con el CRC32, MD5 y SHA-1 de un archivo.

Sirve para comprobar si un archivo se ha descargado correctamente, o para comprobar su veracidad y asegurarnos de que no sea algo que no deseamos.

Normalmente cuando descargamos archivos grandes, como por ejemplo la ISO de un sistema, en la propia página nos proporcionan el MD5 que debería tener el archivo correcto. Si nuestro MD5 no coincide, esque algo falla y deberemos descargarlo otra vez.

Para acceder a HashTab, es muy sencillo:

Botón derecho sobre el archivo->Propiedades-> Pestaña Hash de Archivos

HashTab

Ja tu esi “apgrābstījis” ap 500 000 (skaitlis izdomāts) paroļu hešu, tad tas ne vienmēr nozīmē, ka esi “apgrābstījis” 500 K lietotāju

Zemāk mēģināšu, no sava skatu punkta, izklāstīt, kā tas tā ir.

Pieņemsim, mums ir M$ pofig lietotājs Jānis.

Ir mums arī paviršs lietotājs Pēteris.

Un ir mums arī lietotāja Anna.

Visi viņi ir piereģistrējušies 10 vienādos brīnumos, kuros pieprasa paroli.

Lietotājs Jānis, būdams kaislīgs antivīrusa programmu fans, izvēlas neko neizvēlēties.

Jānis piereģistrējās 10 resursos ar paroli 1.

Tai pat laikā, paviršais lietotājs Pēteris, M$ sabrīnīts un iebaidīts, piereģistrējās augstāk minētos resursos ar dažādām parolēm:

4, 2, 3, 1, 5, 6, 7, 8, 9, 1

Anna, kā jau parasts lietotājs, lieto drošākās paroles:

10, 11, 12, 13, 14, 15, 16, 17, 18, 19

Un tagad – kā rodas tas 500 K, kas ir gandrīz visi LV interneta lietotāji?

Viss noslēpums slēpjas stulbumā!

Tātad, mums ir 3 (trīs) lietotāji, kas katrs piereģistrējies 10 nevajadzīgos brīnumos, kur pieprasa paroles.

Kopā “iztērētas” 30 paroles.

Zīmējums:

Jāņa paroles – 1

Pētera paroles – 4, 2, 3, 1, 5, 6, 7, 8, 9, 1

Annas paroles – 10, 11, 12, 13, 14, 15, 16, 17, 18, 19

Kā redzams “zīmējumā un grafikos”, dažu un dažas paroles sakrīt.

Sakrīt divas Pētera paroles ar Jāņa parolēm.

Tātad faktiski “paroles” ir tikai 19 gabalas.

Bija labi domāts, ka tās būs 30?

Šajā vietā veidojās pirmais 500 K pārpalikums – “pazūd” 11 paroles.

Paliek – 19.

Nesatraucies, lasītāj, pa 10 gadiem ir izdomātas X metodes, kas nav tik primitīvas, kā es te muldu

Otrs variants

10 Lietotāji un viņu 5 paroles!

A = 12345

B = abc1d

C = a6789

D = defgh

E = i1jhl

F = mn11o

G = ba123

H = prstu

I = vz12a

J = qwert

Nezīmēju grafikus, jo tas būtu jāsaprot, ka “kliedēti viņi ar savam parolēm agri vai vēlu satiksies”.

Nekad nebūs tā, ka visiem un visur būs unikālas paroles, ņemot vērā, ka ir qwerty tastatūra utml.

Rezumē

Līdz ar to, 500 K heši nav 500 K paroles.

Labākajā gadījumā tās ir 316 K.

Labākajā!

Bez tam, daudzi lietotāji veido vairākus paralēlus kontus ar vai bez vienādām parolēm.

Tieši šī iemesla dēļ ir grūti iegūstama populārāko paroļu statistika.

Var mērīt pēc unikālajiem hešiem.
Var mērīt pec visiem hešiem.

Ar 500 K hešu arsenālu ir vieglak piemeklēt vienu konkrētu hešu nekā ar to 1 hešu mocīties atsevišķi.

Par nepielasītām parolēm utml. – citreiz, nākamreiz

Šis bija biedrības “Par drošām parolēm” un Mērkaķkunga izlūkraksts, jo mēs visi taču esam izlūki!

There are two choices

Jasypt

Here are the cardinals rules of storing user passwords, and these not only apply to Java but to all other programming language as well.How to encrypt user passwords.Read this before going any further

To summarize, you must use an secure hashing algorithm which which allows for a random salt as an input, and one which hashes the resultant output at least 1000 times.

The generic form of any secure hashing works like this.

Generating a Hash

salt = GET salt
hash_bytes = algo("data to hash",salt,number of rounds)
hash_string = base64 ecnode(hash_bytes)
store(hash_string)

You supply a salt using any random salt generator. The number of rounds must be more than 1000. This is to make brute force reversal computationly expensive. The algorithm therefore takes 3 parameters the data itself, the random salt, and number of rounds. The resulting hash is in bytes. The raw bytes however cannot be stored easily to databases. Therefore we convert it to a hexadecimal string which can be easily stored.

Checking passwords

submitted_password = GET passwords
hash_bytes = algo(submitted_password,salt,number of rounds)
hash_string = base64 ecnode(hash_bytes)
stored_hash = GET stored hash
IF hash_string = stored_hash
	password is valid

Checking a password involves generating the hash again from the submitted password and then comparing the hash to the stored hash. The basic premise is that the same password, with the same salt and using the same number of rounds always generates the same hash.

However Jasypt makes all this super easy. It hides all that complexity. Here’s how you use it.

import org.jasypt.util.password.*;

import java.util.*;

/**
 * @author $Author$
 * @version $Revision$
 *          Created on Oct 8, 2009-3:01:49 PM
 */
public class JasyptDemo
{
	private static final String username = "testuser";
	private static final String userpass = "testpass";
	private static LinkedHashMap<String, String> database = new LinkedHashMap<String, String>();

	public String encryptPassword()
	{
		StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor();
		String encryptedPassword = passwordEncryptor.encryptPassword(userpass);
		storePasswordForUser(username, encryptedPassword);
		return encryptedPassword;
	}

	public boolean checkPassword(String username, String submittedPassword)
	{
		StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor();
		String encryptedPassword = database.get(username);
		return passwordEncryptor.checkPassword(submittedPassword, encryptedPassword);
	}

	public void storePasswordForUser(String username, String hashedPassword)
	{
		// use jdbc to store the username and hashed password in the database.
		database.put(username, hashedPassword);
	}

	public String getPasswordForUser(String username)
	{
		// use jdbc to retrieve the password for this username,
		return database.get(username);
	}

	public static void main(String[] args)
	{
		JasyptDemo encrypter = new JasyptDemo();
		encrypter.encryptPassword();

		JasyptDemo checker = new JasyptDemo();
		System.out.println("Passwords Matched " + (checker.checkPassword(username, userpass)));
	}
}

What Jasypt does is that it stores the salt inside the hash itself. This means there is no need to store the salt seprately. You just store the hashed password and retrieve it each time for comparision when the user supplies their login credentials. It can’t get easier than this.

JBcrypt

If you thought Jasypt was simple there something even simpler than this. It’s called JBcrypt. JBcrypt is a Java implementation of OpenBSD’s Blowfish password hashing scheme. Here’s example of using JBcrypt.

// Hash a password for the first time
String hashed = BCrypt.hashpw(password, BCrypt.gensalt());

// gensalt's log_rounds parameter determines the complexity
// the work factor is 2**log_rounds, and the default is 10
String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));

// Check that an unencrypted password matches one that has
// previously been hashed
if (BCrypt.checkpw(candidate, hashed))
	System.out.println("It matches");
else i
	System.out.println("It does not match");

Comparision Between JBcrypt and Jasypt

Now comes the fun part. Which is more secure Jasypt or JBcrypt?

Well, out of the box and both are as secure and may be as fast. Bcrypt’s strengths and weaknesses are outlined in this paper “A Future-Adaptable Password Scheme” by Niels Provos and David Mazières. On the other hand StrongPasswordEncryptor uses SHA-256 as it’s hashing algorithm. No you do a search of SHA256 VS Bcrypt and decide which to use. I am not suggesting anything.

Jasypt is also configurable. The ConfigurablePasswordEncryptor allows to you change the hashing algorithm. For example let’s use SHA-512. But since the JDK does not supply a SHA-512 hashing algorithm, you can use the setProvider(“provider name”) method of the ConfigurablePasswordEncryptor to set the JCE provider as Bouncy Castle which does support SHA-512.

Here’s how you use ConfigurablePasswordEncryptor with BouncyCastleProvider and SHA-512 as the hashing algorithm.

import org.bouncycastle.jce.provider.*;
import org.jasypt.util.password.*;

import java.util.*;

/**
 * @author $Author$
 * @version $Revision$
 *          Created on Oct 8, 2009-3:01:49 PM
 */
public class JasyptDemo
{
	private static final String username = "testuser";
	private static final String userpass = "testpass";
	private static LinkedHashMap<String, String> database = new LinkedHashMap<String, String>();

	public String encryptPassword()
	{
		ConfigurablePasswordEncryptor passwordEncryptor = new ConfigurablePasswordEncryptor();
		passwordEncryptor.setProvider(new BouncyCastleProvider());
		passwordEncryptor.setAlgorithm("SHA-512");
		String encryptedPassword = passwordEncryptor.encryptPassword(userpass);
		storePasswordForUser(username, encryptedPassword);
		return encryptedPassword;
	}

	public boolean checkPassword(String username, String submittedPassword)
	{
		ConfigurablePasswordEncryptor passwordEncryptor = new ConfigurablePasswordEncryptor();
		passwordEncryptor.setProvider(new BouncyCastleProvider());
		passwordEncryptor.setAlgorithm("SHA-512");
		String encryptedPassword = database.get(username);
		return passwordEncryptor.checkPassword(submittedPassword, encryptedPassword);
	}

	public void storePasswordForUser(String username, String hashedPassword)
	{
		// use jdbc to store the username and hashed password in the database.
		database.put(username,hashedPassword);
	}

	public String getPasswordForUser(String username)
	{
		// use jdbc to retrieve the password for this username,
		return database.get(username);
	}

	public static void main(String[] args)
	{
		JasyptDemo encrypter = new JasyptDemo();
		encrypter.encryptPassword();

		JasyptDemo checker = new JasyptDemo();
		System.out.println("Passwords Matched " + (checker.checkPassword(username, userpass)));
	}
}

Which one of Jasypt or JBcrypt do I use? I use JBcrypt, because it is just one Java File. However Jasypt is more than just one algorithm. It’s a complete framework. Just make sure that you don’t use the BasicPasswordEncryptor as this uses MD5 as it’s hashing algorithm. Use the StrongPasswordEncryptor class or the ConfigurablePasswordEncryptor class instead with SHA-512 as the hashing algorithm. Do also remember that SHA and MD5 type algorithms are fixed cost algorithms while Bcrypt is not.

Summary

Use JBcrypt.It only does one thing but does it right. Use Jasypt when you want to have a more fine grained control of the entire process.

En una reciente jornada sobre digitalización certificada de facturas hubo un término que se utilizó con profusión y que, creo, es desconocido – HASH – o código Hash, o “huella digital” y que es utilizado para garantizar o verificar la integridad de dichas facturas.

El reglamento que desarrolla este proceso de digitalización certificada hace hincapié en garantizar la integridad de los documentos digitales que representan a las facturas en papel. Un objeto digital es íntegro si no se ha producido manipulación alguna del objeto original.

Un código Hash es una cadena de números, obtenida de aplicar una función matemática a un objeto digital; entendiendo por objeto digital cualquier archivo sea cual sea su formato: una imagen, una base de datos, un documento, audio, una película, etc.

Lo mejor será que lo pruebes. Accede a este sistema de cálculo en la web y pruébalo. Prueba a introducir una frase o un archivo de tu sistema, pero cuidado con el tamaño de archivo que seleccionas, puede eternizarse en el cálculo.

Yo lo he hecho y lo que me devuelve es un cuadro de resultados como el que sigue:

Pulsa en la imagen para ampliarla

Lo primero que vemos es que nos devuelve distintos códigos Hash, basados en distintos algoritmos, en distintas funciones matemáticas. Además, vemos que dichos códigos tienen longitudes distintas, es decir, devuelven huellas más o menos cortas (MD5 de 128 bits, SHA-1 de 160 bits o el SHA-512, de 512 bits).

Estos algoritmos deben garantizar las siguientes propiedades:

1. sea cual sea el tamaño del archivo de entrada, el código Hash siempre tendrá la misma longitud.
2. si dos objetos digitales producen dos códigos Hash distintos, los dos objetos son diferentes.
3. no hay dos objetos digitales que produzcan el mismo código Hash (imposibilidad de colisión).
4. a partir de un código Hash no es posible obtener ni deducir el objeto digital.

Evidentemente, no lo harán de igual manera y seguridad algoritmos que generan códigos de 128 bits o de 512 bits. De hecho, se ha evidenciado algún caso de colisión en el algoritmo MD5 que ha sido uno de los más utilizados en los últimos años. Por eso mismo, se han desarrollado códigos de mayor longitud.

Pero continuemos con la explicación. La utilización de este tipo de algoritmos para la digitalización certificada de facturas se soporta en la propiedad número 2. Es decir, las aplicaciones homologadas por AEAT y por nuestras Haciendas Forales generan un código Hash en el mismo momento del escaneado de las facturas y dicho código más la imagen digital (por ejemplo, un PDF) se firman con un certificado reconocido por dichas entidades.

Si después abrimos este PDF y lo modificamos una nada, incluso sólo con cambiarlo de versión por ejemplo, el código Hash de este nuevo archivo ya no será el mismo y así se evidenciará la no integridad de la factura.

Prueba a hacer una pequeña modificación en el archivo que has utilizado antes y vuelve a generar su código Hash, verás como ya no son iguales. Yo lo he hecho con una breve frase:

Digitalización certificada de facturas: ee17a01bf7d63bd84b96ce6f8338483c65c3fcce (SHA-1)

Digitalizacion certificada de facturas: e637b9de6fc61c243c6c9a4315e2bb1a0ef9f628 (SHA-1)

Veis que la única variación es el acento o la ausencia del mismo en la primera letra “o”. Si en un archivo fotográfico cambiásemos únicamente un pixel, el resultado también sería distinto.

Esta es la virtud de estas funciones y por qué se confía en ellos para dar confianza y seguridad en la utilización de los documentos digitales.

Espero haber contribuido a aclarar algo más este tema.

Los métodos extensores, nos permiten “extender” la funcionalidad de una clase sin que sea necesario usar herencia o polimorfismo pudiendo añadirle funcionalidad a clases “core” del Framework.

Hay que tener en cuenta, que estos métodos aunque son muy útiles, en ningún caso pueden sustituir a la herencia de clases.

Para crear un método extensor, necesitamos un código tal como el siguiente:

public static string ToMD5(this string str)
{
MD5 md5 = MD5CryptoServiceProvider.Create();
ASCIIEncoding encoding = new ASCIIEncoding();
byte[] stream = null;
StringBuilder sb = new StringBuilder();
stream = md5.ComputeHash(encoding.GetBytes(str));
for (int i = 0; i < stream.Length; i++) sb.AppendFormat("{0:x2}", stream[i]);
return sb.ToString();
}

Como veis, el metodo extensor, ha de ser estático y ademas, va a recibir siempre como parametro el objeto que lo llama, a este objeto tenemos que añadirle el parametro this.

Así de facil y sencillo. Este tipo de metodos, los había usado con JavaScript y ActionScript, y ahora, mis drugitos, los podemos usar con C#, toda una maravilla.

Bajate el código y échale un ojo, y cuando uses este tipo de metodos, cuidado, ten en cuenta que no estan pensandos para sustituir la funcionalidad que nos proporciona la herencia, y como bien dicen aquí, es interesante agruparlos en un mismo namespace (que en una única clase).

Nunca han sido santos de mi devoción los planetas, aunque desde hace unos días, no paro de escuchar su “corrientes circulares en el tiempo”, canción mucho más madura que la mayoría de sus exitos.

Πως έχει το “σκηνικό”. Είσαι μέλος σε μια κοινότητα “ανταλλαγής” αρχείων (ταινίες, σειρές κλπ) με Rapidshare, το αποδεκτό site από την community.
Κάποιοι, σε κάποιο αντίπαλο forum, κάνουν report τα links, με αποτέλεσμα η RS να τα σβήνει. Δες τώρα πως μπορείς να τα προστατεύσεις.

Αν και ήδη χρησιμοποιείτε μια δοκιμασμένη μέθοδος με ένα κρυπτογραφημένο αρχείο που περιέχει τα links (δες σχετικά εδώ), η συγκεκριμένη μέθοδος είναι καινούρια και πολύ καλή και αυτή.

Η μέθοδος αυτήν, χρησιμοποιεί το σύστημα κρυπτογράφησης MD5, για να πάρει το μοναδικό για κάθε αρχείο hash, το οποίο διαφέρει ακόμη και αν τα αρχεία έχουν τον ίδιο αριθμό.

Σαν αρχή, πρέπει να πάτε σε ένα site RS2RS (Rapidshare to Rapidshare), όπως αυτό. Μην μπαίνετε σε οποιοδήποτε site, καθώς μπορεί να είναι fake και να σου κλαπεί ο κωδικός σου στο Rapidshare.

Εκεί γίνεσαι μέλος βασικά.
Τώρα, αφού κάνεις upload στο Rapidshare κάποιο αρχείο, πας εκεί και βάζεις το link που σου έδωσε το Rapidshare και πατάς “Generate”.

Όταν τελειώσει και αλλάξει το md5 των αρχείων, θα σου δώσει ένα link (ή παραπάνω, ανάλογα τα αρχεία). Πας στο λογαριασμό σου στο RS και από εκεί στο Remote Uploads. Εκεί βάζεις τα links που σου έδωσε πριν το site.

Τώρα το RS στην ουσία θα μπερδευτεί και θα νομίζει ότι πρόκειται για 2 διαφορετικά αρχεία. Στην ουσία είναι το ίδιο αρχείο, αλλά σε backup τους.
Δηλαδή για κάθε upload, θα έχεις 2 αρχεία με διαφορετική “υπογραφή”, ώστε αν γίνει report το link, το αρχείο μεν θα σβηστεί, αλλά το link θα συνεχίσει να υπάρχει, μιας και θα “τραβάει” το backup.
Αν δεις ότι το ένα γίνει report και σβηστεί, μπορείς να ξαναχρησιμοποιήσεις το RS2RS και να ξανά αλλάξεις τα MD5 των αρχείων.
Στην ουσία δεν κάνεις κάτι επιπλέον, δηλαδή νέο upload, αλλά “κοροϊδεύεις” την RS και αφήνεις να κάνουν αυτοί τα uploads για τα backups, κάνοντας χρήση των δικών τους σαφώς γρηγορότερων γραμμών.

In a recent meeting with the Dokeos 2.0 team, I realized that sometimes things are not quite evident. One of these cases that can only be understood with experience is that there’s no use in allowing a user to upload files and keep the true filenames on the server’s disk. In fact, it is quite a bigger problem to do that instead of changing the filenames and storing files as hashes.

Reason 1: Avoid security issues

When uploading a file to the server, you will have filters in place (won’t you?). This being said, you would have to be very good technically to know exactly what kind of files represent a danger to your server if accessed directly. For example, a user could upload an example PHP script called, let’s say, “test.php”, and this script could contain malicious code. If a user is able to upload such script and the same (or another) user can access that file directly (like http://www.example.com/media/test.php), then the access itself will trigger the execution of this script on your server and the implied malicious effect.

Now, what people know a little less, is that a file called “test.php.txt” can also be interpreted as a PHP script (you didn’t know, did you?).

There are loads of other examples of file extensions that are dangerous to your server in one case or another, but the idea is always the same. You don’t want users to be able to upload these files “as is” and be able to access them without your approval. You could use .htaccess rules, but then you would have to rely on the fact that the server you’re going to install your application to actually manages these .htaccess rules. In free software, that’s something complicated to do (or at least if you do it, it becomes complicated for the user to install it).

Reason 2: Character encoding

Reason 3: Character casing

Reason 4: Updating filenames

Reason 5: Duplication

Reason 6: Identifying duplicates

Reason 7: Load splitting

Disadvantages

When uploading inter-related files (like in the case of an HTML document with CSS and images, for example), you will have to ensure that single files can be queried through your server’s scripts normally (not by their hash names). This requires a bit more work, but is easily done through a redirection to some “download.php” script if available (there are other possible ways).

Changing phpbb3 hash into md5 is sometimes needed when you are integrating phpbb3’s login with a website that uses md5 hash for passwords. Let’s assume phpbb3 is installed in a folder named ‘forums’ and that your phpbb_users table passwords are already in md5 format.

So upon user login, you want phpbb3 to compare the submitted password with the one on the table. The table contains password in md5 format already. Here is the procedure that will make phpbb3 use md5 hash for the submitted password:

1. Go to forums/auth/auth_db.php, line 178-221. Find the following codes

   	if (!$row['user_pass_convert'] && phpbb_check_hash($password, $row['user_password']))
   	{
   		// Check for old password hash...
   		if (strlen($row['user_password']) == 32)
   		{
   			$hash = phpbb_hash($password);
   
   			// Update the password in the users table to the new format
   			$sql = 'UPDATE ' . USERS_TABLE . "
   				SET user_password = '" . $db->sql_escape($hash) . "',
   					user_pass_convert = 0
   				WHERE user_id = {$row['user_id']}";
   			$db->sql_query($sql);
   
   			$row['user_password'] = $hash;
   		}
   
   		if ($row['user_login_attempts'] != 0)
   		{
   			// Successful, reset login attempts (the user passed all stages)
   			$sql = 'UPDATE ' . USERS_TABLE . '
   				SET user_login_attempts = 0
   				WHERE user_id = ' . $row['user_id'];
   			$db->sql_query($sql);
   		}
   
   		// User inactive...
   		if ($row['user_type'] == USER_INACTIVE || $row['user_type'] == USER_IGNORE)
   		{
   			return array(
   				'status'		=> LOGIN_ERROR_ACTIVE,
   				'error_msg'		=> 'ACTIVE_ERROR',
   				'user_row'		=> $row,
   			);
   		}
   
   		// Successful login... set user_login_attempts to zero...
   		return array(
   			'status'		=> LOGIN_SUCCESS,
   			'error_msg'		=> false,
   			'user_row'		=> $row,
   		);
   	}

2. Replace it with

   if (md5($password) == $row['user_password']){
   		if ($row['user_login_attempts'] != 0)
   		{
   			// Successful, reset login attempts (the user passed all stages)
   			$sql = 'UPDATE ' . USERS_TABLE . '
   				SET user_login_attempts = 0
   				WHERE user_id = ' . $row['user_id'];
   			$db->sql_query($sql);
   		}
   
   		// User inactive...
   		if ($row['user_type'] == USER_INACTIVE || $row['user_type'] == USER_IGNORE)
   		{
   			return array(
   				'status'		=> LOGIN_ERROR_ACTIVE,
   				'error_msg'		=> 'ACTIVE_ERROR',
   				'user_row'		=> $row,
   			);
   		}
   
   		// Successful login... set user_login_attempts to zero...
   		return array(
   			'status'		=> LOGIN_SUCCESS,
   			'error_msg'		=> false,
   			'user_row'		=> $row,
   		);
   	}
   

Now if you want to save passwords in md5 format upon user registration, you need to do the following:

1. Go to forums/includes/ucp/ucp_register.php, line 316.
2. Replace
   

   'user_password'=> phpbb_hash($data['new_password']),

   with

   'user_password'=> md5($data['new_password']),

Let me know what you think. Good luck!

IGHASHGPU v0.5 released. Unsalted MD5 hashes now can be processed simultaneously, up to 1 000 000 per batch. I guess it’s fastest MD5 hash cracker on ATI.

http://golubev.com/hashgpu.htm

While fooling around with Windows (XP variant) I found a few missing essentials:

• For transferring files there is putty (there’s an installer common to almost everything)
• For calculating checksums (MD5/SHA1) there is HashTab which adds a tab to the file properties dialog box

I intend to update this list as I find additions.

Criptografia md5
O md5 é uma criptografia fácil de entender e bem prática. O md5 não pode ser “descriptografado”, e ele é utilizado geralmente mais para scripts de Login.
Exemplo:

O usuário digita sua senha, a senha digitada é criptografada em md5 e é procurada no database, caso a senha no database (também em md5) for igual a digitada, é liberada o login!

Vou fazer uma simples criptografia da palavra “atum”.
 
<?
$palavramd5 = md5(atum);
echo $palavramd5 // Exibe a palavra em md5
?>

Este exemplo pode ser feito do mesmo modo com a criptografia sha1,sha2…

SSL technology relies on the concept of public key cryptography to accomplish its tasks. In normal encryption, two communicating parties each share a password or key, and this is used to both encrypt and decrypt messages. While this is a very simple and efficient method, it doesn’t solve the problem of giving the password to someone you have not yet met or trust.

In public key cryptography, each party has two keys, a public key and a private key. Information encrypted with a person’s public key can only be decrypted with the private key and vice versa. Each user publicly tells the world what his public key is but keeps his private key for himself.

The SSL handshake protocol determines how the server and client negotiate which cipher suites they will use to authenticate each other, to transmit certificates, and to establish session keys.

• SSL structure builds with  public key cryptography

• In SSL there are three (3) steps of Encryption.
  

How SSL Works

I. Obtaining an SSL Certificate

XYZ Inc., intends to secure their customer checkout process, account management, and internal employee correspondence on their website, xyz.com.

Step 1: XYZ creates a Certificate Signing Request (CSR) and during this process, a private key is generated.

Step 2: XYZ goes to a trusted, third party Certificate Authority . Certificate Authority takes the certificate signing request and validates XYZ in a two step process. Certificate Authority validates that XYZ has control of the domain xyz.com and that XYZ Inc. is an official organization listed in public government records.

Step 3: When the validation process is complete, Certificate Authority gives XYZ a new public key (certificate) encrypted with Certificate Authority’s private key.

Step 4: XYZ installs the certificate on their webserver(s).

II. How Customers Communicate with the Server using SSL

Step 1: A customer makes a connection to xyz.com on an SSL port, typically 443. This connection is denoted with https instead of http.

Step 2: xyz.com sends back its public key to the customer. Once customer receives it, his/her browser decides if it is alright to proceed.

• The xyz.com public key must NOT be expired
• The xyz.com public key must be for xyz.com only
• The client must have the public key for Certificate Authority installed in their browser certificate store. If the customer has Certificate Authority trusted public key, then they can trust that they are really communicating with XYZ, Inc.

Step 3: If the customer decides to trust the certificate, then the customer will be sent to xyz.com his/her public key.

Step 4: xyz.com will next create a unique hash and encrypt it using both the customer’s public key and xyz.com’s private key, and send this back to the client.

Step 5: Customer’s browser will decrypt the hash. This process shows that the xyz.com sent the hash and only the customer is able to read it.

Step 6: Customer and website can now securely exchange information.

checkSum+ 1.5.2 (2008-11-25) Pescados Software

MD5 Hash를 확인해 주는 유틸리티. CSV와 SFV 포멧을 지원한다.

파일을 드래그하면 MD5 Hash를 생성할 수 있는데, File > Open Explorer 메뉴를 이용하면 여러 종류의 코드를 만들 수 있다.

MD5, CSV, SFV 파일을 열거나 생성할 때 각각 아이콘이 다르고 창도 새로 열려서 프로그램의 일관성이 떨어져 보이는데, 이전에 만든 서로 다른 프로그램들을 결합시켜서 만들었기 때문인 듯 하다.

물론 Mac OS X에 내장된 MD5 명령을 사용해도 된다. MD5 filename 으로 체크섬을 생성할 수 있다.