MD5 niet goed genoeg voor flitspalen?
In Australië is wat ophef ontstaan over het fingerprinten van foto's en andere data uit flitspalen. De advocaat van een automobilist wist de rechter er van te overtuigen dat MD5 lek is en dat er dus gerommeld kan zijn met de data. Een beetje vreemd verhaal aangezien MD5 nog steeds een enorme collision space heeft, ondanks de inderdaad aangetoonde zwakheden. De kans dat er gerommeld is met de data is zo klein dat het algoritme prima bruikbaar blijft voor een dergelijke toepassing. (Sydney Morning Herald)
advocaat er op! Even wat boetes terugvorderen....
dat het algoritme prima bruikbaar blijft voor een dergelijke toepassing." Als ik
het goed begrijp denkt de rechter er dus anders over. Of is het de mening van
de redactie?
% Total % Received % Xferd Average Speed Time
Curr.
Dload Upload Total Current Left Speed
100 40737 100 40737 0 0 224k 0 0:00:00 0:00:00
0:00:00 406k
c0f3adb824590b40944614268e627421 *-
$ curl http://www.doxpara.com/t2.html | md5sum
% Total % Received % Xferd Average Speed Time
Curr.
Dload Upload Total Current Left Speed
100 40737 100 40737 0 0 150k 0 0:00:00 0:00:00
0:00:00 240k
c0f3adb824590b40944614268e627421 *-
Hoe worden de foto's gecontroleerd op waar of niet waar? Dit
is mij niet bekend.....
prima kan manipuleren en daarna een nieuwe md5 hash kan
genereren.
Md5 is namelijk geen gpg fingerprint (niet uniek aan de
bezitter van de sleutels). Alleen vraag ik mij af of de
rechters in Nederland dit argument zullen
volgen. Het blijft een interessante test case.
Het artikel vermeld dat het openbaar ministerie niet een
specialist kon krijgen. De zaak is op die basis gewonnen!
Tevens MD5 zegt niks over betrouwbaarheid van de foto zolang
de md5 ook aangepast kan worden. In het verlengde: een file
op een server met daarbij een md5 wordt beetje suf; indien
je de file kan aanpassen, kun je ook de md5 aanpassen, pas
als de md5 sum op andere servers staat is het redelijk
betrouwbaar.
LEES HET ARTIKEL!!!!
Het artikel vermeld dat het openbaar ministerie niet een
specialist kon krijgen. De zaak is op die basis gewonnen!
Tevens MD5 zegt niks over betrouwbaarheid van de foto zolang
de md5 ook aangepast kan worden. In het verlengde: een file
op een server met daarbij een md5 wordt beetje suf; indien
je de file kan aanpassen, kun je ook de md5 aanpassen, pas
als de md5 sum op andere servers staat is het redelijk
betrouwbaar.
uitgelgd http://www.cits.rub.de/MD5Collisions/
Kun je een bestand inhoud!!! van een EPS wijzigen en er dezlfde MD5
hash bij hebben.. Een andere file dus met dezelde HASH we hebben
het hier over beeld. Net als bij de flitspaal een overstap naar SHA1
zou dit kunnen verkomen
Ik vraag me alleen af hoe dit in Nederland is ingeregeld.
Zoals ik boven in de PDF al liet lezen en hier wordt het
voor jullie
uitgelgd http://www.cits.rub.de/MD5Collisions/
Kun je een bestand inhoud!!! van een EPS wijzigen en er
dezlfde MD5
hash bij hebben.. Een andere file dus met dezelde HASH we
hebben
het hier over beeld. Net als bij de flitspaal een overstap
naar SHA1
zou dit kunnen verkomen
Heel leuk dat dat theoretisch kan, dat wisten we al. Maar nu
krijg jij van mij een CD met foto's uit een flitspaal, wat
mij betreft krijg je de MD5's erbij. Ga het maar voor elkaar
krijgen een kenteken te veranderen en de MD5 hetzelfde te
houden. Ik zie de CD wel weer verschijnen!
Beyond reasonable doubt....schijnt ook in Australië te
werken.
Guilty until proven innocent... :(
En daar zitten er ECHT heel veel onschuldig!
En de procedures om ze te vullen/legen t/m de factuur worden als
voldoende betrouwbaar aangemerkt. Net als die beruchte zaak dat als een
politieagent je denkt te zien bellen met een GSM in de auto dit als
waarheid wordt aangemerkt.
verwachten.
genoeg: het ligt niet aan de zwakte van MD5, met SHA-1 (of
SHA-256 of elke directe hasher) zou hetzelfde probleem
opduiken: iedereen kan de foto veranderen en er de nieuwe
hash meteen bij zetten, dus die hash biedt niets extra's
zolang die niet via een apart bewijsbaar veilig kanaal gaat
(in welk geval je je af zou vragen waarom die foto dan niet
via dat kanaal kan gaan). Typisch gevalletje van slecht
toegepaste crypto.
"Digitale flitspalen
Het Openbaar Ministerie is een test begonnen met digitale flitspalen langs
de A2 tussen Breukelen en Vinkeveen. De palen sturen de foto's direct
door, er hoeven dus geen fotorolletjes verwisseld te worden. De
overtredingen kunnen daardoor sneller worden afgehandeld, en er kan
meer worden geflitst. Daarbij komt dat de digitale opnamen beter van
kwaliteit zijn. Een MD5-algoritme moet ervoor zorgen dat het OM kan
bewijzen dat de digitale foto's niet door hen bewerkt zijn. Gedurende de
test - die enkele weken duurt - worden er geen bekeuringen uitgedeeld."
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.