LINUX.ORG.RU

Взлом SHA-1

 sha-1,


4

5

Специалисты Google продемонстрировали первую коллизию хешей SHA-1. А именно, два разных PDF-файла с осмысленной картинкой и одинаковым значением SHA-1.

>>> Первый файл

>>> Второй файл

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: sudopacman (всего исправлений: 3)

Ответ на: комментарий от Valman_new

Квантовые компьютеры сейчас как компьютеры в 60-е. И то они вроде как не не по настоящему квантовые, но я тут не разбираюсь совсем.

Yahweh
()
Ответ на: комментарий от bbk123

И что теперь, git перейдёт на другой алгоритм хеширования?

было бы не плохо .. и главное — это вполне вполне реалистично..

переход можно было бы разбить на несколько фаз:

фаза 1. выщитывать одновременно и sha1 и sha256 (для всех новых объектов).. и позволять пользователю в UI оперировать с любым из этих хэшей..

фаза 2. для новых объектов выщитывать только sha256, но пользователю в UI позволять оперировать (как и раньше) также и с sha1 и с sha256..

фаза 3. при использовании операций в которых в конечном итоге где-то происходит задействование sha1 — в UI предупреждать об этом КРАСНЫМ КАПСЛОКОМ (цвет если tty) — и спрашивать [y/N] подтверждения у пользователя продолжить ли операцию..

фаза 4. в целом уже норм — можно остановиться на фазе 3.. полное выпиливание sha1 не требуется (если всё равно спрашиватеся подтверждение — значит злоумышленник не сделает что-то скрытно)

user_id_68054 ★★★★★
()

Атака потребовала более 9 * 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

Атака доступна богатею с супер-компьютером, но не доступна большинству людей.

rezedent12 ☆☆☆
()

Это дорого, но не запредельно.

Aprel
()
Ответ на: комментарий от Yahweh

Ну, это ты загнул и одновременно сравнил слона с носорогом. И да, всякие кrовавые импеrии типа M$ и гугла уже используют квантовые компьютеры у себя.

Valman_new
()
Ответ на: комментарий от user_id_68054

зато отвязывает от конкретной хэшфункции и вопрос о переходе уже не стоит.

а выглядет как хипстерская херата

тут интересней узнать, почему разработчики Git были настолько непредусмотрительными, что хипстерам пришлось за них думать в 2014.

anonymous
()
Ответ на: Хакерам-одиночкам взлом SHA128 не под силу от atsym

Да ты шутишь. Объемы в тысячи цпу или сотни гпу доступны практически всем. Прямо сейчас у меня под рукой около тысячи цпу и под сотню гпу. А если нагрузить что то вроде проекта s@ti то загрузка задания будет занимать больше времени, чем ее решение...

AVL2 ★★★★★
()
Ответ на: комментарий от BigAlex

Чексумы теперь новые выкладывать нужно

Зойчем? Смысл чексуммы в проверке целостности, а для нее и md5 за глаза хватит.

annulen ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Разработка ASIC - дорогое удовольствие, даже если оно на FPGA будет работать

annulen ★★★★★
()
Ответ на: комментарий от Yahweh

Не знаю, но уже есть коммерческие компании, производящие КК.

Valman_new
()
Ответ на: комментарий от anonymous

зато отвязывает от конкретной хэшфункции и вопрос о переходе уже не стоит.

разработчикам Git — достаточно лишь один раз решиться на переход Sha1->Sha256

а к следущиму разу (Sha256->Sha3 ?) — будут всё уже по-проторённой-дорожке отработано.. полезный опыт даст возможность следущий переход сделать даже более правильно чем это было Sha1->Sha256 ..

хипстерам пришлось за них думать в 2014.

просто способ какой-то странный придумали — каждый раз тратить лишние 2~4 символа на то чтобы указывать название алгоритма хеширования.. не практично, учитывая что алгиритм-то будет всё время один и тотже (не щитая смену эпох).

вся суть в sha1-идентификаторах как раз в том что ты просто печатаешь его (первые 5~7 символов) не делая ни каких лишний уточнений..

в случае с sha256/sha1 — это было бы также удобно. поочерёдная проверка — сначала sha256-обеъктов, потом sha1-объектов — думаю не сильно скажется на производительности

user_id_68054 ★★★★★
()
Ответ на: комментарий от user_id_68054

Зачем переходить, и так всё работает. Прикостылили наверное.

d_a ★★★★★
()
Ответ на: комментарий от Yahweh

Я не стал ждать. А сейчас работает сразу.

mandala ★★★★★
()

я только одного не понимаю

9 × 10¹⁸ вычислений SHA-1

это же 90 вычислений sha-1. Почему для этого требуется

6500

лет ?

instant
()
Ответ на: комментарий от anonymous

Когда на небо указывают в помещении — я вижу потолок.

mandala ★★★★★
()
Ответ на: комментарий от instant

Ага, в оригинале написано

This attack required over 9,223,372,036,854,775,808 SHA1 computations

instant
()
Ответ на: комментарий от slovazap

Сложнее, да. Просто заголовок у новости несколько желтоват. Это ещё не ужас-ужас-ужас, но уже серьёзный звоночек. Браузеры, например, уже превентивно выкинули поддержку SHA-1 в сертификатах.

anonymous
()
Ответ на: комментарий от instant

это же 90 вычислений sha-1. Почему для этого требуется

Может у вас шрифт такой, что в нем нет глифов для степеней? Вот даже в процитированном фрагменте, там 10^18

X-Pilot ★★★★★
()
Ответ на: комментарий от Bad_ptr

Мы все под колпаком.

Во-первых, ты или я вряд ли интересую спецслужбы.

Во-вторых, отслеживая мобильник можно сотворить гораздо больше.

В-третьих, судя по результатам, на осуществление атаки нужно довольно много ресурсов.

Ну и, в-четвертых, лично мне уже давным давно стало понятно, что лучший способ противодействия сбору информации - дезинформация. Создай о себе в 10 раз больше ложных данных и любители сбора информации с помощью машинного анализа и других методик предпочтут тебя игнорировать, потому что на тебя ресурсов будет тратиться слишком много (нерентабельно это будет). К тому же, тебе не нежно бежать быстрее медведя - достаточно лишь быстрее другого парня.

И, в-пятых, скулить по этому поводу бесполезно - если технология перспективная, ей все равно кто-нибудь будет заниматься, поэтому нужно разрабатывать как методы нападения, так и защиты.

В-шестых, если тобой кто-то всерьез заинтересовался - тебя найдут, это вопрос времени и денег.

anonymous
()
Ответ на: комментарий от zoloz

так файлы то одинаковые

У меня цвета различаются.

anonymous
()
Ответ на: комментарий от iluha16

Что такое асик?

ASIC, специализированная под конкретную задачу микросхема

https://en.wikipedia.org/wiki/Application-specific_integrated_circuit

Кстати, для майнинга биткоинов делали ASIC, которые считают какой-то хеш и, скорее всего, на нем можно считать не единственный тип хеша. Так что очень может быть, что ASIC для биткоина посчитает SHA1 сильно быстрее, чем тесла...

anonymous
()
Ответ на: комментарий от anonymous

гуглу проще тесты запустить на юзерских машинах, где установлен гуглохром...

Гудящий на всю мощь вентилятор на CPU заметит каждый второй пользователь хрома, поэтому такой вариант не идеален...

anonymous
()
Ответ на: комментарий от iluha16

Вот есть sha256sum. А можно ли сделать какую нибудь sha4096sum что бы уж как можно надёжнее или даже больше взять длину?

Ты из тех, кто искренне не понимает, почему нужен IPv6, если в IPv4 можно через точку ещё пару циферок дописать?

anonymous
()
Ответ на: комментарий от d_a

Бизнесу даже уровня пары ларьков практически любой банк откроет кредитную линию 500000$ за несколько рабочих дней, были ба счетах деньги и стабильный приход в течение пары месяцев—полугода.

anonymous
()
Ответ на: комментарий от user_id_68054

Ну или просто сконвертировать репозиторий, добавив всем объектам без sha100500 новый хэш и по умолчанию запретить пользоваться sha1. Мамкины кодеры и прочие приматы побуянят, да и успокоятся. А у тех, кто всё правильно сделал сразу™ как работало, так и будет работать.

anonymous
()
Ответ на: комментарий от anonymous

Да понял я, ларьки это тема. Тут у многих наверное есть ларьки.

d_a ★★★★★
()
Ответ на: комментарий от gag

А где ещё SHA-1 является частью архитектуры (как, например, в git)?

В гите не нужна криптографическая стойкость. Там хеш только для генерации идентификаторов. А вот всякие криптоподелки, куда SHA-1 было прибито шурупами, потерпают, да...

И это при том что о небезопасности сего алгоритма шумели уже более года назад.

segfault ★★★★★
()

Херня пример. Цвет поменялся - пофиг, смысл у картинок остался тот же. Пусть текст покажут.

anonymous
()
Ответ на: комментарий от anonymous

Гуманитарии подъехали, смотрю :D

anonymous
()
Ответ на: комментарий от anonymous

А вот и мамкины спецы по ИБ подъехали. Ну что же, раздевайся, ложись.

Аргументацию неуловимого Джо я просто проигнорирую, хотя её одной достаточно, чтобы выставить тебя босого на мороз.

Отслеживане мобильника никаким боком к SHA-1. Угрозы совершенно разные.

Довольно много ресурсов, как видишь, есть даже у коммерческих компаний. И то, что сегодня стоит рубль, завтра будет стоить десять копеек в кредит, а послезавтра будет в любом мобильнике. При этом иной банк поди считает, что MD5 норм.

На счёт дезинформации спешу расстроить. Твоя скудная фантазия будет рожать бледные копии себя самой, и отличить этот шум от сигнала будет проще простого. Люди годами в спецшколах такому скиллу обучаются и всё равно прокалываются на мелочах. А от машины, как ты знаешь, ничего не утаишь. У неё долгая память, много терпения и она не устаёт.

Я бы с нескрываемым удовольствием посмотрел на твои «методы нападения» на Bumblehive в Юте.

А вот на счёт шестого пункта ты, как ни странно, прав. Несоразмерность в возможностях такая, что лучше секретов не иметь вовсе. Здоровее будешь.

anonymous
()
Ответ на: комментарий от atsym

Да, посмотрел новость с другого устройства и вижу разницу. Видимо, я столкнулся с какой-то тяжелой формой ШГ

instant
()
Ответ на: комментарий от anonymous

Да не говори, еще и свои фамилии заранее вписали, как будто знали что у них хэши сойдутся.

anonymous
()
Ответ на: комментарий от i36_zubov

погугли про narus9000. это древние системы уже

Your search - narus9000 - did not match any documents.

Suggestions:

Make sure that all words are spelled correctly.
Try different keywords.
Try more general keywords.

iluha16
()
Ответ на: комментарий от anonymous

Бизнесу даже уровня пары ларьков практически любой банк откроет кредитную линию 500000$ за несколько рабочих дней, были ба счетах деньги и стабильный приход в течение пары месяцев—полугода.

Это где такой банк? Потребуется наверное много справок и объяснений как будет использоваться когда прибыль типа бизнес план. Ну и какой смысл выкинуть столько денег вряд ли у кого то есть информация которая имеет такую стоимость. Вот спецслужбы вполне могут этих ASICов наштамповать.

iluha16
()

Интересно, а во сколько в среднем больше потребовалось бы вычислительного времени если атаковать нужно тоже самое, но с дополненной проверкой по sha256?

ados ★★★★★
()
Ответ на: комментарий от d_a

Я сразу три считаю (md5, sha1, sha256) когда генерю релизы

Для проверки целостности доставленного релиза достаточно одной чексуммы.

И цифровую подпись ещё на файлики с контрольными суммами.

Это тоже лишнее. Достаточно подписать только сам релиз.

kalterfive ★★
()
Ответ на: комментарий от zoloz

Однозначный победитель контеста этого треда по написанию самого бестолкового комментария.

kalterfive ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.