MD5 y SHA-256

Ron Rivest criou o MD5 em 1991 no MIT — o mesmo Ron Rivest do R em RSA — como sucessor do MD4. A ideia central de uma função hash é transformar qualquer entrada em uma sequência de bits de tamanho fixo de forma determinística e irreversível: a mesma entrada sempre produz o mesmo hash, entradas diferentes produzem hashes completamente diferentes, e é computacionalmente inviável encontrar a entrada a partir da saída. Essa propriedade de sentido único é o que distingue um hash de uma cifra: não existe descriptografar, só calcular na frente. Paralelamente, a NSA desenvolveu a família SHA com o NIST — SHA-1 em 1993, SHA-2 com SHA-256 e SHA-512 em 2001 — como alternativas com saídas maiores e maior resistência a colisões.

A quebra do MD5 começou nos anos 90: Hans Dobbertin encontrou fraquezas internas em 1996. Em 2004, Wang Xiaoyun e sua equipe demonstraram a primeira colisão completa — dois inputs diferentes produzindo o mesmo hash de 128 bits. O ataque prático mais dramático veio em 2008: pesquisadores usaram colisões de MD5 para forjar um certificado de autoridade certificadora legítima, o que permitiria criar certificados HTTPS aceitos por todos os navegadores. Em 2012, o malware Flame usou técnica similar para se passar por atualização assinada da Microsoft. SHA-1 seguiu o mesmo caminho: o ataque SHAttered do Google em 2017 demonstrou a primeira colisão real de SHA-1 usando 110 anos-GPU de computação.

Hoje, MD5 e SHA-1 são considerados quebrados para fins criptográficos. MD5 ainda tem usos legítimos onde colisões intencionais não são ameaça — verificar integridade de um download contra checksum publicado pelo mesmo servidor, por exemplo. SHA-256 segue seguro: é o que o Bitcoin usa para minerar blocos, o que o Git usa nos commits desde a versão 2.29 e o que a maioria dos certificados TLS usa como base de assinatura. Um detalhe que confunde muita gente: SHA-256 não é adequado para armazenar senhas diretamente porque é rápido demais — uma GPU moderna testa bilhões de hashes por segundo. Para senhas, use bcrypt, scrypt ou Argon2, que são deliberadamente lentos e resistentes a aceleração por hardware.

Ron Rivest created MD5 in 1991 at MIT — the same Ron Rivest of the R in RSA — as a successor to MD4. The core idea of a hash function is to transform any input into a fixed-length bit sequence in a deterministic and irreversible way: the same input always produces the same hash, different inputs produce entirely different hashes, and it is computationally infeasible to recover the input from the output. That one-way property is what distinguishes a hash from a cipher: there is no decryption, only forward computation. In parallel, the NSA developed the SHA family with NIST — SHA-1 in 1993, SHA-2 with SHA-256 and SHA-512 in 2001 — as alternatives with longer outputs and stronger collision resistance.

The breakdown of MD5 began in the 1990s: Hans Dobbertin found internal weaknesses in 1996. In 2004, Wang Xiaoyun and her team demonstrated the first full collision — two different inputs producing the same 128-bit hash. The most dramatic practical attack came in 2008: researchers used MD5 collisions to forge a legitimate certificate authority certificate, which would have allowed creating HTTPS certificates accepted by all browsers. In 2012, the Flame malware used a similar technique to impersonate a signed Microsoft update. SHA-1 followed the same path: Google's SHAttered attack in 2017 demonstrated the first real SHA-1 collision using 110 GPU-years of computation.

Today, MD5 and SHA-1 are considered broken for cryptographic purposes. MD5 still has legitimate uses where intentional collisions are not a threat — verifying a download's integrity against a checksum published by the same server, for example. SHA-256 remains secure: it is what Bitcoin uses to mine blocks, what Git has used for commits since version 2.29, and what most TLS certificates use as their signature base. One detail that trips many developers: SHA-256 is not suitable for storing passwords directly because it is too fast — a modern GPU can test billions of hashes per second. For passwords, use bcrypt, scrypt, or Argon2, which are intentionally slow and resistant to hardware acceleration.

Ron Rivest creó MD5 en 1991 en el MIT — el mismo Ron Rivest de la R en RSA — como sucesor de MD4. La idea central de una función hash es transformar cualquier entrada en una secuencia de bits de longitud fija de forma determinista e irreversible: la misma entrada siempre produce el mismo hash, entradas distintas producen hashes completamente diferentes, y es computacionalmente inviable recuperar la entrada a partir de la salida. Esa propiedad de sentido único es lo que distingue un hash de un cifrado: no existe descifrado, solo cálculo hacia adelante. En paralelo, la NSA desarrolló la familia SHA con el NIST — SHA-1 en 1993, SHA-2 con SHA-256 y SHA-512 en 2001 — como alternativas con salidas más largas y mayor resistencia a colisiones.

La ruptura del MD5 comenzó en los años 90: Hans Dobbertin encontró debilidades internas en 1996. En 2004, Wang Xiaoyun y su equipo demostraron la primera colisión completa — dos entradas distintas produciendo el mismo hash de 128 bits. El ataque práctico más dramático llegó en 2008: investigadores usaron colisiones de MD5 para falsificar un certificado de autoridad de certificación legítima, lo que habría permitido crear certificados HTTPS aceptados por todos los navegadores. En 2012, el malware Flame usó una técnica similar para hacerse pasar por una actualización firmada de Microsoft. SHA-1 siguió el mismo camino: el ataque SHAttered de Google en 2017 demostró la primera colisión real de SHA-1 usando 110 años-GPU de cómputo.

Hoy, MD5 y SHA-1 se consideran rotos para fines criptográficos. MD5 aún tiene usos legítimos donde las colisiones intencionales no son una amenaza — verificar la integridad de una descarga contra un checksum publicado por el mismo servidor, por ejemplo. SHA-256 sigue siendo seguro: es lo que usa Bitcoin para minar bloques, lo que usa Git en los commits desde la versión 2.29 y lo que usa la mayoría de los certificados TLS como base de firma. Un detalle que confunde a muchos: SHA-256 no es adecuado para almacenar contraseñas directamente porque es demasiado rápido — una GPU moderna puede probar miles de millones de hashes por segundo. Para contraseñas, usa bcrypt, scrypt o Argon2, que son deliberadamente lentos y resistentes a la aceleración por hardware.