@geeglo MD5 的应用领域有这么多，为什么非要干伪装校验这种吃力又没卵用的事，黑客真没你想的这么 2
这么个假设吧，黑客做中间人窃听用户与服务器之间的通讯，因为用 MD5 碰撞创造了一个假的来自可信 CA 的数字证书（若能指定 MD5 ，那就是伪造了一份可验证的服务器数字证书，不过没人会检查可通过验证的证书是不是和以前的证书一样，所以黑客完全没必要指定 MD5 ），截获了用户本应发往服务端的加密数据包。
然后就是你要的实际意义了：哪天你用了网银在完全正常的网站付了一次款，然后发现你银行卡里的钱被转走，你甚至不知道钱是怎么丢的

伪造文件等待别人安装？你的观念还停留在十几年前
如果是我是黑客，我甚至不需要让你安装伪装文件，你所浏览的一切网页、发出去的每一个数据包都有可能能被我控制

当然，黑客不会对普通人干这种事，因为这么干了，等于逼着让全球安全领域的人掘地三尺把他(们)找出来，因为这样代表这个黑客正在威胁全球互联网络，你并不知道也不会知道是否会有人有能力干这件事，这种事情一旦连普通人都知道了，代表的要么是这种技术早就被淘汰，要么就是要发生大事

另外，就 XCodeGhost 事件来说，有传言说 CIA 早在 3 月就知道了，而 XCodeGhost 被爆出通讯过程容易被第三人攻击，你就可以想想这 6 个月 CIA 能从中获得什么。黑色世界真的没你想的这么简单

@binux 其实这个倒不必担心，安装盘一般用 MD5 和 SHA1 两个值来校验

@geeglo MD5 的应用就单单是校验程序？你看了那个方案二就相信了？少年我只能说你图样图森破
黑客界从来不惮以最坏的恶意来推测他人用心。
某些黑客界的大神密码、算法学水平远远超过大学教授，你怎知他人不能改进碰撞算法，又怎知他人没有使用先进的超级计算机的机会？最简单的例子，在王小云的论文出来后曾有人说伪造数字证书不可能， 69L 就是打脸的例子

比如，若黑客掌握了指定 MD5 碰撞的技术，那么以 MD5 加密的密码就不再保险，无论你设的密码多复杂，黑客只要知道你密码的 MD5 值，就等于知道了你的密码

再仔细想想就知道，为什么这么多安全专家（非砖家）说 MD5 已经不再安全，需要靠多种方式校验，如果按你说的“不可能”，那干脆只使用 MD5 就好了，何必多此一举再验一次

原文看起来像软文，不过我个人对国内印象笔记的本土化并不看好，可能是习惯不同

另外国际版的 EverNote 与国内版是分开的，国际版已接近和谐，国内版宣传力度也不高，估计这也是印象笔记在国内一直不温不火的原因

@binux
现有技术能不能实现的确不知道，因为即便有这种工具，也不会公开，别人还指着这工具达到某种目的，公开的话 MD5 就废了，然后这个工具也就没用了（目前 MD5 应用广，利益诱人，这种工具会给他们带来很高的收益）
另外，之前所说的是构造两个 MD5 相同大小相同的图片，并未指定 MD5 值。
科技的发展是很快的（王小云的实验需要几个小时，而 fastcoll 只需要几秒钟就完成了碰撞）
比如 37L @znoodl 提供的两个程序就不是依靠尾部添加数据达到的碰撞，我也不相信这两个程序 MD5 相同完全是巧合
那么可以确定的是某些人又发现了可以修改程序 MD5 值而又不破坏程序的运行的方法，甚至是不是可以猜想已经达到了修改程序某些字节而不改变原程序 MD5 的程度

另外，有毒 XCode 的 MD5 值与官方的并不相同，这个和我们讨论的其实是两件事， XCodeGhost MD5 如果与官方相同，那就不仅仅是大事了，那就是席卷整个 IT 界的大海啸

@binux 刚才又仔细回顾了一下你的回复，其实你在意的是工具能否指定 MD5 值吧

事实上，很早就有工具实现修改两个不同文件达到相同 MD5 值（ fastcoll_v1.0.0.5 ）
现在有没有指定 MD5 修改工具这个确实不知道，这种工具我觉得即便有也不会公布出来（网上倒是有这类工具的截图，但是我下载的时候都会报毒，没敢下来测试）

@binux 存在相同和指定他们相同，两者不一样的
就比如 366 个人，肯定存在两个人生日相同，但是我从中指定了两个人，他们两个生日相同的概率依然是 1/365

@juneszh
1.如果你仔细看了我的主题，就会发现我从来没否认“迅雷下载的文件不是源文件”存在的可能性，甚至我还证明了有这种可能

2.如果你说我的是强盗逻辑，那么我倒要问问你了，“迅雷拖官方 XCode 下载链接下载回来的 XCode 带毒”这条结论是怎么成立的，有没有证据？如果你没有证据，我同样可以说你是强盗逻辑（如果你说迅雷下载的文件不是源文件就证明了迅雷拖官方 XCode 下载链接下载回来的 XCode 带毒，那我只能说呵呵，截图、微博、链接都行，但请注意不是从百度网盘上拖的链接，而是官网！你证明了百度网盘拖的带毒 XCode 下载回来带毒那只能证明你在说废话）

3.不管官方声明是不是软文，是不是编造的数据，至少官方给出了证据，而要反驳这条证据，最好的办法就是拿出和证据矛盾的另一条证据或者指出证据的疑点，如果你不能反驳别人提出的证明，那和喷子有什么区别。

4.本来就是一个很容易判断的事实，被网上某些黑子抹了一刀歪曲事实，然后被不明真相的围观群众大肆鼓吹，这才是我感到愤怒的地方，谣言就是这么来的。谣言止于事实，而不是止于自己的猜测

5.你的结论让我想起了一个笑话，如何证明你不是神经病

@binux 而且你所说的生日悖论，概率事件完整的描述应该是：
有一群人，其中存在两人生日相同的概率

MD5 碰撞的概率描述是：
某两个文件的 MD5 值相同的概率

如果要符合生日悖论，那么正确的描述应该是：
有一批文件，其中存在两个文件 MD5 值相同的概率

仔细想想就会知道这描述了两个完全不同的事件（但可以转化）：
某两个文件的 MD5 值相同的概率--->有两个文件，其中存在两个文件 MD5 值相同的概率
两个人的生日相同--->有两个人，其中存在两人生日相同的概率

然后你可以算一下事件发生的概率

一年的主机配置一个档， 10 年。。。。走远了

@juneszh 我的证据就是，目前所有说迅雷下载的 XCode 带毒的人都没有确实的证据，而且
http://digi.163.com/15/0919/06/B3RUU5CM00162OUT.html
脸疼？

@binux 而碰撞工具的原理，则是通过很小的代价从中拿到对应的球，比如根据球的特征分类，然后根据已经得到的球的特征从已被分类好的球中挑选，概率被人为的改变了，从原本的概率极小的事件变成了必然事件。
至于你说的生日悖论，说白了就是概率学的排序与组合问题，而先选定一个或是同时选定并不能改变概率事件的性质，本质上两者都是组合概率， MD5 碰撞概率的计算式子：
1 * 1/(36^32 ) = 1/(36^32 )

其中 1/(36^32*2 )为抽取第二个的概率
选定一种 MD5 然后抽，则有 36^32 种 MD5 选择的可能，碰撞成功的概率（放回抽样）：
1/(36^32 ) * 1/(36^32 ) * 36^32 = 1/(36^32 )

如果你说指定一个 MD5 ，不能乘 36^32 ，那么这样一来就是寻找两个文件使得他们的 MD5 值与指定文件相同了，寻找的文件多了一个，概率自然大了一个数量级，如果只寻找一个，概率是 1/(36^32 )

@juneszh "至今未看到有人能证明用迅雷拖官网链接下载的 XCode 被投毒“是既定事实，如果出现"有人能证明用迅雷拖官网链接下载的 XCode 被投毒”，那么我被打脸。我从没有臆想通过迅雷下载的文件一定与原文件一样，我只是说在这件事情上，迅雷目前是被冤枉的。

如果你想证明迅雷在这次事件中没被冤枉，请拿出证据打我脸。

@binux 我不知道你的 2^(n/2 )是如何得到的，即便是构造「两个」文件，也只能是先有一个文件，然后有另一个文件的 MD5 值与其相同，概率同样是 36 的 32 次方（也就是可能的 MD5 值总数）
就好像有一堆 36 的 32 次方个不同的球与另一堆 36 的 32 次方个和之前的球 一 一 对应的球，两堆球之中各抽一个，拿到对应球的概率总是 36 的 32 次方，并不会因为你是先拿一个再拿一个还是同时拿而改变概率

@binux
数据 1

4d c9 68 ff 0e e3 5c 20 95 72 d4 77 7b 72 15 87
d3 6f a7 b2 1b dc 56 b7 4a 3d c0 78 3e 7b 95 18
af bf a2 (00 ) a8 28 4b f3 6e 8e 4b 55 b3 5f 42 75
93 d8 49 67 6d a0 d1 (55 ) 5d 83 60 fb 5f 07 fe a2

数据 2

4d c9 68 ff 0e e3 5c 20 95 72 d4 77 7b 72 15 87
d3 6f a7 b2 1b dc 56 b7 4a 3d c0 78 3e 7b 95 18
af bf a2 (02 ) a8 28 4b f3 6e 8e 4b 55 b3 5f 42 75
93 d8 49 67 6d a0 d1 (d5 ) 5d 83 60 fb 5f 07 fe a2

摘自
https://sumnous.wordpress.com/2012/09/25/%E4%B8%BA%E4%BB%80%E4%B9%88%E5%BA%94%E8%AF%A5%E6%94%BE%E5%BC%83%E6%88%96%E5%87%8F%E5%B0%91%E4%BD%BF%E7%94%A8md5/

手误，上面的“调整完之后”应为“碰撞完之后”

@blacklee
之前提到的两张 MD5 相同、大小相同的图片
http://pan.baidu.com/s/1kTpAUNl#path=%252Fmd5.%25E7%25A2%25B0%25E6%2592%259E

@binux 碰撞前先调好大小，使得调整完之后大小与原文件相同

@geeglo 搜索关键字“ MD5 碰撞工具”，并且，我用过，而且校验过两个文件的 MD5 ，请善用搜索

@likuku 是的，而且已经有工具了。大概原理是在文件尾部添加数据以达到 MD5 碰撞。
在这个基础上再微调一下文件大小就能做到 MD5 和大小一样内容不同的文件

@lightening 感谢提醒，上面的 hash 应为 SHA-1
一般文件校验是通过 SHA-1 与 MD5 两个值共同完成

应该不会只检查前一段 hash ，毕竟有相同文件头的玩意太多了

有可能是每一分块都查一部分，也可能是比较每个文件的大小、头尾字节、原始链接