Program pack3 napsal Ondrej Mikle. Je založen na kolizním programu MD5 Vlastimila Klímy.
Použití: pack3 file1 file2 file3 file4 file5 file6 vytvo?í dva samorozbalovací archivy package1.exe a package2.exe. Oba budou mít sejnou MD5 haš, p?i?emž package1.exe extrahuje soubory 1-3 a package2.exe soubory 4-6.
Program ukazuje zneužitelnost kolizí.
P?íklad scéná?e: SW odd?lení napíše SW. Zdroje a exe programy p?edá odd?lení, které píše readme.txt. To vytvo?í readme.txt a vrátí SW odd?lení package1.exe. SW odd?lení rozpakuje, zjistí, že archiv package1.exe obsahuje jeho neporušené zdroje a exe programy a navíc readme.txt. Proto podepíše distribuci package1.exe.
Odd?lení, které píše readme.txt však na web umístí (nebo klientovi pošle) package2.exe. Package2.exe má stejnou haš jako package1.exe, tudíž je autorizován (nap?íklad elektronickým podpisem). Package2.exe však m?že u uživatele rozbalit naprosto jiný (jak ukazujeme zcela libovolný) obsah.
Další p?íklad: T?etí strana p?ipravuje kupní smlouvu. Kupujícímu dá podepsat package1, prodávajícímu package2...
Další informace jsou
zde a na
domácí stránce kolizí.
Málem jsem zapomn?l dodat, že jsem mírn? aktualizoval
odbornou zprávu v ?eštin?. Je tam mali?ký dodatek o použitých tunelech v bloku 2. Pro zajímavost: na PC Pentiu 4 (3.2 GHz) je kolize vygenerována v pr?m?ru za 17 sekund.