为什么用MD5哈希验证下载被认为是不安全的？

Question

我已经下载了一个带有Debian ISO的jigdo，下载已经成功完成，并打印了以下消息：

FINISHED --2021-01-22 11:57:20--
Total wall clock time: 4.3s
Downloaded: 9 files, 897K in 1.8s (494 KB/s)
Found 9 of the 9 files required by the template                                                                                                  
Successfully created `debian-testing-amd64-netinst.iso'

-----------------------------------------------------------------
Finished!
The fact that you got this far is a strong indication that `debian-testing-amd64-netinst.iso'
was generated correctly. I will perform an additional, final check,
which you can interrupt safely with Ctrl-C if you do not want to wait.

MD5 from template: l2l48nbYVylT4qrQ0Eq3ww
MD5 from image:    l2l48nbYVylT4qrQ0Eq3ww
OK: MD5 Checksums match, image is good!
WARNING: MD5 is not considered a secure hash!
WARNING: It is recommended to verify your image in other ways too!

Debian提供了三种验证ISO映像的方法: sha1sums、md5sums和sha256sums。sha1sum被认为容易受到碰撞攻击的攻击，但我没有听说过任何关于MD5的消息。

为什么MD5SUM被认为是一个不安全的散列？SHA256SUM是验证下载的debian的唯一安全方法吗？

Answer 1

MD5和SHA-1都容易受到(所选前缀) 碰撞攻击的攻击.SHA2 (SHA-256，SHA-384，SHA-512，…)而哈希函数的SHA3族则不是。

选择前缀冲突攻击意味着，给定前缀和后缀，就可以找到两个中间层，例如prefix+middle1+suffix和prefix+middle2+suffix具有相同的散列。在系统映像的上下文中，这允许某人生成一个非常好的映像，分发它，然后偷偷地修改它，用一些恶意软件替换它的一部分。由于原始版本和修改版本都具有相同的哈希，因此不易检测到修改。

对于MD5来说，碰撞攻击非常便宜，你可以立即在你的电脑上运行它。对沙一来说，碰撞攻击的代价是适度的(截至2020年，约合45K美元)。对于SHA2和SHA3来说，即使具有NSA级的计算能力，也不存在生成碰撞攻击的已知方法。

即使使用MD5或SHA-1，也没有已知的方法来获取现有的图像并使用相同的哈希查找另一个图像(第二次图像前攻击)。必须精心制作原始图像，以使攻击成为可能。