LINUX.ORG.RU

Взлом SHA-1

 sha-1,


4

5

Специалисты Google продемонстрировали первую коллизию хешей SHA-1. А именно, два разных PDF-файла с осмысленной картинкой и одинаковым значением SHA-1.

>>> Первый файл

>>> Второй файл

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: sudopacman (всего исправлений: 3)
Ответ на: комментарий от kalterfive

Для проверки целостности доставленного релиза достаточно одной чексуммы.

А если коллизия в одной из них? Т.ч. три мудреца про запас.

Это тоже лишнее. Достаточно подписать только сам релиз.

Нет 1) не лишнее и 2) у меня образы с поделками большие очень, непрактично по ним цифровую подпись считать и проверять. Контрольная сумма с ЦП в аски-армор куда приятнее выглядит, ещё бы тулзы (xxxsum) допилякать, чтобы пропускали её, или лучше сами проверяли её.

d_a ★★★★★
()
Ответ на: комментарий от kalterfive

Как и написал, коммит, пуш и клон, я больше git не умею :) Ну и переключение на нужный хэш (git checkout hash). Всё верно отработало в моих простых тестах.

d_a ★★★★★
()

А в "подробнее" все не заглянули?

Данный тип уязвимости в принципе не позволяет что-то там взломать. Эта уязвимость может в теории позволить мошенничать при заключении договоров исключительно в электронном виде. Т.е., меняя суммы денег в своём экземпляре договора, не меняя хеша файла с цифровой подписью.

Однако же овчинка выделки не стоит, ибо подбор циферек в суммах дело дорогое и долгое, а ещё суммы вписываются и буквами, как раз против мошенничества, с древнейших времён.

Следующим шагом в таком мошенничестве будет суд и до-о-о-лгое разбирательство.

«Игра не стоит свеч».

mister_VA ★★
()
Ответ на: Хакерам-одиночкам взлом SHA128 не под силу от atsym

Google признал, что если вас взломают через ограниченность SHA128, то это могла бы сделать только либо госструктура либо мегакорпорация с большими вычислительными мощностями (ОК, Гугл...).

3960 rx470 (хз какие там гпу) вломают за день, если считать по крипте то это стоит 3.4к $, не так уж и дорого.

KillTheCat ★★★★★
()
Ответ на: комментарий от d_a

А если коллизия в одной из них? Т.ч. три мудреца про запас.

Не понимаю, о чём речь. Какую, например, из возможных ситуаций ты имеешь ввиду?

у меня образы с поделками большие очень, непрактично по ним цифровую подпись считать и проверять

Гм. Ты хочешь сказать, что ты заменяешь цифровую подпись релиза на цифровые подписи к чексуммам релиза?

kalterfive ★★
()
Ответ на: комментарий от anonymous

Аргументацию неуловимого Джо я просто проигнорирую

По твоей версии если ты никому не нужен, то на отслеживание тебя все равно будут тратить время и деньги? Не понимаю такую логику.

Отслеживане мобильника никаким боком к SHA-1. Угрозы совершенно разные.

Одна размером со слона, другая пока чисто гипотетическая. Но говорить будем о второй и игнорировать реальную.

Довольно много ресурсов, как видишь, есть даже у коммерческих компаний. И то, что сегодня стоит рубль, завтра будет стоить десять копеек в кредит, а послезавтра будет в любом мобильнике.

И каждый у кого есть ресурсы мечтает выкинуть их на что-то бесполезное... Ага.

На счёт дезинформации спешу расстроить. Твоя скудная фантазия будет рожать бледные копии себя самой, и отличить этот шум от сигнала будет проще простого. Люди годами в спецшколах такому скиллу обучаются и всё равно прокалываются на мелочах. А от машины, как ты знаешь, ничего не утаишь. У неё долгая память, много терпения и она не устаёт.

И работает не бесплатно. Кроме того, можно одну машину натравить против другой, вот пусть они друг против друга и работают.

Я бы с нескрываемым удовольствием посмотрел на твои «методы нападения» на Bumblehive в Юте.

Не знаю, что это такое, но видимо ты думаешь, что это что-то неуязвимо. Чую профдеформацию.

Судя по твоим ответам - ты ИБшник и подход у тебя такой: высасываем из пальца как можно больше возможных угроз, чтобы для защиты от них дали как можно больше бабла на отдел и пофиг, что пользы от отдела почти никакой. В общем похоже на классического паразита.

anonymous
()
Ответ на: комментарий от kalterfive

Какую, например, из возможных ситуаций ты имеешь ввиду?

Ну вот sha1 совпала и врёт, а две другие не совпали и правду говорят.

Гм. Ты хочешь сказать, что ты заменяешь цифровую подпись релиза на цифровые подписи к чексуммам релиза?

Да, именно так. Наверное это не эквивалентно, я не эксперт, подсмотрел у популярного вендора (CentOS). Это защищает все три контрольные суммы от пересчёта, а также (бесплатно) защищает мои файлы от переименования, поскольку имена тоже попадут в GPG SIGNATURE блочек. Ну и gpg не уходит глубоко в себя, если скормить ему контрольные суммы, в отличае от :)

d_a ★★★★★
()
Последнее исправление: d_a (всего исправлений: 2)
Ответ на: А в "подробнее" все не заглянули? от mister_VA

Следующим шагом в таком мошенничестве будет суд и до-о-о-лгое разбирательство.

Ты отправил в банк платежное поручение на одну сумму, а пришло на другую или номер счета другой. А теперь можешь попытаться найти куда ушли деньги и директора той фирмы, куда ты их перечислял.

Так что эта уязвимость, возможно, не единственное, что потребуется для успешной атаки, да и не всегда ей получится воспользоваться (и, возможно, паяльником можно сделать гораздо больше и быстрее), но поле для ее деятельности существует.

anonymous
()
Ответ на: комментарий от kalterfive

Не понимаю, о чём речь. Какую, например, из возможных ситуаций ты имеешь ввиду?

Ты собрал релиз, посчитал для него md5. Злоумышленник выложил на одно из зеркал поддельный релиз с трояном и тем же md5. Все, кто качает со взломанного сервера установят себе троян, потому что проверка контрольной суммы успешно пройдет. Вот поэтому и три контрольных суммы с разными алгоритмами.

anonymous
()
Ответ на: комментарий от anonymous

///Ты отправил в банк платежное поручение на одну сумму, а пришло на другую или номер счета другой.

Для этого надо украсть цифровую подпись и пароли к клиент-банку, а не подбирать файлы с одинаковыми хеш-суммами. А ещё и сотовый телефон, к номеру которого привязан счёт.

Но это всё равно мошенничество, а не взлом компьютерных систем.

///А теперь можешь попытаться найти куда ушли деньги и директора той фирмы, куда ты их перечислял.

Открою вам страшную банковскую тайну: переводы денег мгновенны лишь виртуально, но не реально. А уж обналичка счёта вообще может занять несколько недель.

Вы думаете, что списание денег с карточки при оплате через терминал — это и сразу их перевод в другой банк или счёт? Хренушки. Это лишь постановка в очередь на перевод. Начнётся этот перевод после окончания сессии этого терминала и займёт от нескольких минут до 3-х дней.

mister_VA ★★
()
Ответ на: комментарий от mister_VA

Но это всё равно мошенничество, а не взлом компьютерных систем.

Такое чтобы одна единственная уязвимость позволила сделать какой-то серьезный взлом или увод денег бывает крайне редко. Для этого нужен комплексный подход, когда используется несколько уязвимостей (одна из которых может быть коллизией в SHA1). На самом деле серьезные дела без своего человека внутри - вообще экзотика.

Вы думаете, что списание денег с карточки при оплате через терминал — это и сразу их перевод в другой банк или счёт?

Я так не думаю. Но если злоумышленник сделал так, что в твой банк пришло измененное платежное поручение (из-за коллизии в SHA1), как задержки в проведении платежей повлияют на то, что деньги уйдут не туда (или с другой суммой)?

P.S. Вообще-то я свой комментарий оставил для того пункта, где обещались длительные судебные слушания (с целью указать, что до суда дело может и не дойти, а деньги уйдут, хотя одной коллизии SHA1, скорее всего будет недостаточно).

anonymous
()

Это для обычного Васяна с его ноутбуком проблема для такого перебора, но для корпорации или структуры, которые владеют суперкомпьютером это не так чтобы долго. А спецслужба думаю при желании доступ получить сможет. Здесь всё зависит от целесообразности. Так что смешного здесь ничего нет, если захотят взломать, то и такие мощности задействуют. Хотя по моему старый добрый терморектальный криптоанализ обойдется на много быстрее и дешевле.

anonymous
()
Ответ на: А в "подробнее" все не заглянули? от mister_VA

Данный тип уязвимости в принципе не позволяет что-то там взломать.

Хранишь пароли в SHA-1? Храни дальше. Раздаёшь образы с хешем SHA-1? Раздавай дальше.

А мы посмотрим, позволяет или нет.

Aceler ★★★★★
()
Ответ на: комментарий от iluha16

Какова стоимость необходимого оборудования и вообще стоимость производства

Частный обеспеченный человек вполне потянет.

peregrine ★★★★★
()
Ответ на: комментарий от d_a

Гм. git считает хэш от blob n\0...data..., поэтому такое поведение ожидаемо, не смотря на то, что sha1(...data-1...) == sha1(...data-2...) .

kalterfive ★★
()
Последнее исправление: kalterfive (всего исправлений: 1)
Ответ на: комментарий от anonymous

Во-первых, ты или я вряд ли интересую спецслужбы.

В РФ только в 2015 суды выдали почти миллион разрешений на прослушивание.

hateyoufeel ★★★★★
()

там даже CRC32 не совпадает

есть гипотеза, что подделать одновременно md5 sha-1 sha-256 не получится, так что придется нашим дебилам переделывать законодательство, а то они на гост все надеются, а надо использовать 3-5 современных алгоритмов одновременно

anonymous
()
Ответ на: комментарий от anonymous

Генератор checksum с GUI

а надо использовать 3-5 современных алгоритмов одновременно

Дайте ссылку на нормальный и простой в использовании генератор checksum для Linux, желательно с GUI

atsym ★★★★★
()
Ответ на: комментарий от slovazap

я думаю они писали бинарный мусор в неиспользуемые части pdf. так когда-то развлекались люди занимающиеся кодированием видео: генерировали файлы с чексумами 111111, 222222, 333333, т.д. но они это с более простыми хешами делали.

anonymous
()

Google через 90 дней опубликует метод взлома SHA-1

В рамках соглашения о раннем неразглашении уязвимостей, компания Google на 90 дней задержит публикацию практической реализации метода подбора коллизий (теоретическое описание уже доступно). После публикации кода для проведения атаки, им сможет воспользоваться любой желающий для повторения опыта создания одинаковых хэшей SHA-1 для разных PDF-файлов при наличии необходимых вычислительных ресурсов.

Тоесть Google заявил что на протяжении 90 дней втихую будет «парсить SHA-1 трафик», а потом ещё хочет опубликовать рецепт создания взрывчатки инструкцию для всех желающих хаккеров и мошенников в свободный доступ? Это вообще законно?

P.S.: вакцина

https://github.com/cr-marcstevens/sha1collisiondetection

atsym ★★★★★
()
Последнее исправление: atsym (всего исправлений: 2)
Ответ на: комментарий от rezedent12

Выше уже посчитали - разовый взлом на арендованных серверах обойдётся примерно в 30 килобаксов. Конечно, не цена пирожка, но хотя бы простая квартира в небольшом городе. Или новая хорошая иномарка. Не сказать, что большинство людей покупает это каждый день, но многие - пару раз в жизни вполне. А между тем в некоторых странах зарплата в виде нескольких десятков тысяч долларов в год - нормальное явление. Так что цена взлома, хоть и не маленькая, но позволить его себе могут не единицы из списка Форбс, а десятки миллионов людей, просто если буду кушать годик немного поменьше.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

А цена защиты от этой уязвимости — полпачки доширака.

imul ★★★★★
()
Ответ на: комментарий от anonymous

Гудящий на всю мощь вентилятор на CPU заметит каждый второй пользователь хрома

А если в это время показать видео с котиками?

wxw ★★★★★
()

Тоесть Google заявил что на протяжении 90 дней втихую будет «парсить SHA-1 трафик»,

То есть даёт время отказаться от SHA-1 в критически-важных относительно взлома местах тем, кто этого до сих пор ещё не сделал.

а потом ещё хочет опубликовать инструкцию для всех желающих хаккеров и мошенников в свободный доступ? Это вообще законно?

Что незаконного в публикации алгоритмов и демо-кода?

P.S.: вакцина

Прикольно, реально работает на представленных файлах. Признаться я не совсем понял что она делает для этого.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

То есть даёт время отказаться от SHA-1 в критически-важных относительно взлома местах тем, кто этого до сих пор ещё не сделал

Шантаж и угрозы

atsym ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Что незаконного в публикации алгоритмов и демо-кода?

Что незаконного в публикации рецептов создания взрывчатки в сети Интернет? Хотите, пример приведу, а?

atsym ★★★★★
()
Последнее исправление: atsym (всего исправлений: 1)
Ответ на: комментарий от atsym

Погугли для начала что такое full disclosure и coordinated release date и не пори чушь больше, ей больно.

Pinkbyte ★★★★★
()
Ответ на: комментарий от atsym

Если в алгоритме нашли дырень, сообщили тебе об этом, а ты даже не чешешься, то тут не так много вариантов:

  • Ты знал о ней с самого начала и оставил её для себя/из-за лени или неумения побороть проблему
  • Тебе по барабану, т.к. свои деньги ты уже получил

И в первом и во втором случае информация должна ИМХО быть доступна общественности. Может ей будет не пофигу.

peregrine ★★★★★
()
Ответ на: комментарий от atsym

На самом деле ничего. В любом учебнике школьной химии есть правила протекания химических реакций и таблицы окисления-восстановления вместе с таблицей Менделеева. Этого вполне достаточно, чтобы восстановить процесс получения того же самого тринитротолуола (тротила). Формула его закодирована в самом названии, всё остальное идёт от безграмотности и глупости.

peregrine ★★★★★
()
Ответ на: комментарий от torvn77

По ссылке не указано что система может дешифровать данные, написано только что может быть использована для блокировки зашифрованных соединений но это не сложно.

iluha16
()
Ответ на: комментарий от anonymous_incognito

Почитай мой коммент выше о Google и 90 дней до приказа

После публикации кода для проведения атаки...

atsym ★★★★★
()
Ответ на: комментарий от peregrine

А вот зря ты публикуешь полное название данного вещества в открытый доступ...

Учебники скоро пофиксят, и будет там только молитва для превращения водопроводной воды в святую росу

atsym ★★★★★
()
Ответ на: Хакерам-одиночкам взлом SHA128 не под силу от atsym

Google признал, что если вас взломают через ограниченность SHA128, то это могла бы сделать только либо госструктура либо мегакорпорация с большими вычислительными мощностями (ОК, Гугл...).

Нет, это так не работает:

  • На амазоне 110 лет GPU-вычислений - это миллион с четвертью долларов. Да, не масштаб индивидуального хакера, но и не масштаб мегакорпорации или госструктуры.
  • Индивидуальный хакер представляет тебе угрозу, если он работает на государство или мегакорпорацию. В той корпорации, где работаю я, каждый инженер может запускать что угодно в любом кластере, но с низким приоритетом (т.е., если ресурсы нужны для продакшн-сервиса, твои таски будут вытеснены). Чисто в теории, этого более чем достаточно, чтобы незаметно ни для кого сделать 110 лет GPU-вычислений.
Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от atsym

Учебники скоро пофиксят, и будет там только молитва для превращения водопроводной воды в святую росу

Всё жду не дождусь, когда это наконец произойдет. Вроде тенденция есть, но хочется увидеть момент и проверить некоторые догадки про необразованное, но высокодуховное общество.

peregrine ★★★★★
()
Ответ на: комментарий от anonymous_incognito

рассказать

Сразу же

привести код (готовый для использования мошенниками)

Лучше никогда. Серьезно.

atsym ★★★★★
()
Ответ на: комментарий от atsym

(готовый для использования мошенниками)

Какая разница, будет код или будет документация, по которой этот код можно сделать?

Deleted
()
Ответ на: комментарий от atsym

Лучше никогда. Серьезно.

Код, готовый для практического мошенничества в чём-то вряд ли кто-то приведёт. Просто это никому из исследователей не нужно. А просто код для подбора коллизий - это ещё не мошенничество.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

В Google как раз вроде говорят о «скрипте для взлома» («вакцина» приведенная выше это не то, что опубликуют через 90 дней)

atsym ★★★★★
()
Ответ на: комментарий от atsym

Шантаж - Неблаговидные действия, угроза разоблачения, разглашения компрометирующих сведений с целью вымогательства, а также вообще угроза, запугивание чем-н. с целью создать выгодную для себя обстановку.

Почувствуй разницу между «через 5 минут я набью тебе морду, если хочешь, можно подготовиться защищаться» и «через 5 минут я набью тебе морду, если ты не отдашь мне деньги и телефон». В первом случае состава преступления по статье «шантаж» нет, ибо агрессор не выдвигает никаких требований, а лишь декларирует свои намерения.

Точно также и тут. Google не требует с владельцев сайтов выкуп, как и не имеет какого-то явного профита от того, что они перейдут на другой формат хеширования. Только вот в отличии от набивания морды публикация исходных кодов, которые сам написал, вполне законна.

И да, если гугл опубликует чисто proof-of-concept, то это никак не тянет на «создание вредоносного ПО». Чтобы ПО было вредоносным, оно должно без напильника совершать вредоносную деятельность. Например, ломать конкретные пароли, на конкретных сайтах. А гугл скорее всего выкатит просто утилиту, которой на вход суёшь некий абстрактный хеш, а она выдаёт файл. Никто совать туда реальные хеши паролей не заставляет. Точно также как ножами можно убивать, но в этом виноваты не производители ножей, а конечные пользователи.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)
Ответ на: комментарий от KivApple

«через 5 минут я набью тебе морду удалю твой сайт из результатов выдачи в нашем поисковике, если хочешь, можно подготовиться защищаться ты не будешь следовать нашим указаниям (требованиям) и рекомендациям по переходу на HTTPS, SHA256, ...»

Fixed

atsym ★★★★★
()
Последнее исправление: atsym (всего исправлений: 1)
Ответ на: комментарий от atsym

Google находится в юрисдикции США. И, хочу напомнить, те же чертежи пластикового пистолета выпиливали из сети (не особо удачно) в первую очередь из-за экспортного законодательства (формально получался экспорт оружейных технологий, а он регулируется), а «Поваренная книга анархиста» там вполне легально продаётся. Да и компания BitTorrent Inc вполне неплохо поживает.

Соответственно, информация о методе взлома некоего математического алгоритма SHA-1 также будет вполне легальной.

KivApple ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.