Rechnernetze

MD5

MD5 verarbeitet Blöcke der Länge 512 Bits oder 64 Bytes, so dass jede Nachricht durch Auffüllen mit einer 1 und weiteren 0en auf diese Länge gebracht werden muss. Da das erste angehängte Bit auf jeden Fall eine 1 ist und die letzten 64 Bits oder 8 Bytes zur Darstellung der Länge der Originalnachricht verwendet werden, müssen gegebenenfalls sogar mehr als 512 Bits angehängt werden.

Zu Anfang werden vier Verkettungsvariablen initialisiert:

	A := 01234567₁₆
	B_: = 89ABCDEF₁₆
	C := FEDCBA98₁₆
	D := 76543210₁₆

Die Nachricht wird in n Worten zu 512 Bits zerlegt, die als M₀, M₁, ..., M_n bezeichnet werden. Jedes dieser 512-Bit-Worte wird in 16 32-Bit-Worte zerlegt, die wir hier für den k-ten Teilblock als M_k_j bezeichnen, wobei j=0..15.

Es werden vier Funktionen definiert:

	F(X,Y,Z) = (XLY)V(^~XLZ),
	G(X,Y,Z) = (XLZ)V(YL^~Z),
	H(X,Y,Z) = X xor Y xor Z,
	I(X,Y,Z) = Y xor (X xor ^~Z).

Wenn M_k_j den j-ten Teilblock des k-ten Teilworts bezeichnet und CSL^k das zyklische Schieben nach links um k Stellen bedeutet, so erhält man die Funktionen:

	FF(a,b,c,d,M_ij,s,t_i) steht für a = b + CSL^s(a+F(b,c,d)+M_ij+t_i),
	GF(a,b,c,d, M_ij,s,t_i) steht für a = b + CSL^s(a+G(b,c,d)+ M_ij+t_i),
	HH(a,b,c,d, M_ij,s,t_i) steht für a = b + CSL^s(a+H(b,c,d)+ M_ij+t_i),
	II(a,b,c,d, M_ij,s,t_i) steht für a = b + CSL^s(a+I(b,c,d)+ M_ij+t_i).

Mit diesen Funktionen werden vier Runden mit jeweils 16 Schritten durchgeführt, also insgesamt 64 Schritte:

	Runde 1:
	FF(a,b,c,d, M_i0, 7, d76aa478₁₆)
	FF(d,a,b,c,M_i1, 12, E8C7B756₁₆)
	FF(c,d,a,b,M_i2, 17, 242070DB₁₆)
	FF(b,c,d,a,M_i3, 22, C1BDCEEE₁₆)
	FF(a,b,c,d, M_i4, 7, F57C0FAF₁₆)
	FF(d,a,b,c,M_i5, 12, 4787C62A₁₆)
	FF(c,d,a,b,M_i6, 17, A8304613₁₆)
	FF(b,c,d,a,M_i7, 22, FD469501₁₆)
	FF(a,b,c,d, M_i8, 7, 698098D8₁₆)
	FF(d,a,b,c,M_i9, 12, 8B44F7AF₁₆)
	FF(c,d,a,b,M_i10,17, FFFF5BB1₁₆)
	FF(b,c,d,a,M_i11,22, 895CD7BE₁₆)
	FF(a,b,c,d, M_i12,7, 6B901122₁₆)
	FF(d,a,b,c,M_i13,12, FD987193₁₆)
	FF(c,d,a,b,M_i14,17, A679438E₁₆)
	FF(b,c,d,a,M_i15,22, 49B40821₁₆)
	Runde 2:
	GG(a,b,c,d, M_i1, 5, F61E2562₁₆)
	GG(d,a,b,c, M_i6, 9, C040B340₁₆)
	GG(c,d,a,b, M_i11,14,265E5A51₁₆)
	GG(b,c,d,a, M_i0, 20,E9B6C7AA₁₆)
	GG(a,b,c,d, M_i5, 5, D62F105D₁₆)
	GG(d,a,b,c, M_i10,9, 02441453₁₆)
	GG(c,d,a,b, M_i15,14,D8A1E681₁₆)
	GG(b,c,d,a, M_i4, 20,E7D3FBC8₁₆)
	GG(a,b,c,d, M_i9, 5, 21E1CDE6₁₆)
	GG(d,a,b,c, M_i14,9, C33707D6₁₆)
	GG(c,d,a,b, M_i3, 14,F4D50D87₁₆)
	GG(b,c,d,a, M_i8, 20,455A14ED₁₆)
	GG(a,b,c,d, M_i12,5, A9E3E905₁₆)
	GG(d,a,b,c, M_i2, 9, FCEFA3F8₁₆)
	GG(c,d,a,b, M_i7, 14,676F02D9₁₆)
	GG(b,c,d,a, M_i12,20,8D2A4C8A₁₆)

	Runde 3:
	HH(a,b,c,d, M_i5, 4, FFFA3942₁₆)
	HH(d,a,b,c, M_i6, 11,8771F681₁₆)
	HH(c,d,a,b, M_i11,16,6D9D6122₁₆)
	HH(b,c,d,a, M_i14,23,FDE5380C₁₆)
	HH(a,b,c,d, M_i1, 4, A4BEEA44₁₆)
	HH(d,a,b,c, M_i4, 11,4BDECFA9₁₆)
	HH(c,d,a,b, M_i7, 16,F6BB4B60₁₆)
	HH(b,c,d,a, M_i10,23,BEBFBC70₁₆)
	HH(a,b,c,d, M_i13,4, 289B7EC6₁₆)
	HH(d,a,b,c, M_i0, 11,EAA127FA₁₆)
	HH(c,d,a,b, M_i3, 16,D4EF3085₁₆)
	HH(b,c,d,a, M_i6, 23,04881D05₁₆)
	HH(a,b,c,d, M_i9, 4, D9D4D039₁₆)
	HH(d,a,b,c, M_i12,11,E6DB99E5₁₆)
	HH(c,d,a,b, M_i15,16,1FA27CF8₁₆)
	HH(b,c,d,a, M_i2, 23,C4AC5665₁₆)

	Runde 4:
	II(a,b,c,d, M_i0, 6, F4292244₁₆)
	II(d,a,b,c, M_i7, 10,432AFF97₁₆)
	II(c,d,a,b, M_i14,15,AB9423A7₁₆)
	II(b,c,d,a, M_i5, 21,FC93A039₁₆)
	II(a,b,c,d, M_i12, 6,655B59C3₁₆)
	II(d,a,b,c, M_i3, 10,8F0CCC92₁₆)
	II(c,d,a,b, M_i10,15,FFEFF47D₁₆)
	II(b,c,d,a, M_i1, 21,85845DD1₁₆)
	II(a,b,c,d, M_i8, 6,6FA87E4F₁₆)
	II(d,a,b,c, M_i15,11,FE2CE6E0₁₆)
	II(c,d,a,b, M_i6, 15,A3014314₁₆)
	II(b,c,d,a, M_i13,21,4E0811A1₁₆)
	II(a,b,c,d, M_i4, 6,F7537E82₁₆)
	II(d,a,b,c, M_i11,10,BD3AF235₁₆)
	II(c,d,a,b, M_i2, 15,2AD7D2BB₁₆)
	II(b,c,d,a, M_i9, 21,EB86D391₁₆)

Die Werte a, b, c und d werden zu den Werte von A, B, C und D addiert und mit dem nächsten Datenblock M_i+1 fortgefahren. Die Ausgabe ist die Konkatenation der Werte in A, B, C und D, also 128 Bits.

Es gibt keine ernsthaften Sicherheitsbedenken gegen MD5, wenngleich die kurze Länge des Digest einen Geburtstagsangriff nicht unmöglich macht. Schneier schreibt in seinem Buch, dass er MD5 nicht einsetzt, weil es "eine Schwachstelle in der Kompressionsfunktion" zu geben scheint, die jedoch nach Ansicht der Autoren keine Auswirkung auf die Sicherheit der Hashfunktion hat.