SHA1 взломан

> Потом текст ей шифруется и берется обычный хэш нужного размера.

ну, конечно этот обычный хэш должен включать в себя длину текста, а то плохо получится:)

>Гарантировано в 2^160+1.

Согласен. Длинна SHA1 - 160 бит

> Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается.

... при условии использования побуквенного кодирования.

Народ, а нафиг паниковать? У всех зашифрованы документы "Хранить вечно"? Или у всех длина пароля, хэшируемого MD5, превышает 32 байта? А если нет, то чего волноваться - даже если брутфорсом взломают пароль, не поимеют достаточно важной инфы. А если маленький пароль (байтов 31, лучше ASCII), то и коллизии, скорее всего, нет (с вероятностью, стремящейся к единице).

О ЧЕМ ФЛЕЙМ? О том, что теперь можно передать файл, а его хэш останется таким же?

>> им удалось создать алгоритм для получения коллизии за 2^69
>> операций хеширования
>>коллизии наблюдаются на входном множестве 2*69
> Одно и то-же, только другими словами!
Конечно, если цитаты вырывать из контекста.
Суть их работы заключалась в том, чтобы создать алгоритм
получения такого множества. Без этого алгоритма вы получите
только множество, на котором коллизии будут происходить
с частотой 2^80.
Фраза "коллизии наблюдаются на входном множестве 2*69
вместо теоретического значения 2*80" в данном случае лишена
смысла: завтра найдут алгоритм получения коллизии за 2^50
операций хеширования например, и фраза станет не верна?
Смысл новости именно в создании именно алгоритма, а не в том,
что ранее известные теоретические данные были уточнены.

> Народ, а нафиг паниковать? У всех зашифрованы документы "Хранить вечно"? Или у всех длина пароля, хэшируемого MD5, превышает 32 байта? А если нет, то чего волноваться - даже если брутфорсом взломают пароль, не поимеют достаточно важной инфы. А если маленький пароль (байтов 31, лучше ASCII), то и коллизии, скорее всего, нет (с вероятностью, стремящейся к единице). О ЧЕМ ФЛЕЙМ? О том, что теперь можно передать файл, а его хэш останется таким же?

ну вот люди иногда подписывают письма с помощью PGP. А в нем как первая стадия используется MD5 или SHA1 (ну или что-то другое).

(realloc уже шутил по этому поводу:)

>Майкл, при чем тут блоуфиш???? md5 и sha1 - хеш функции. А блоуфиш блочный шифр.

>Одно другого не заменяет ну ни в коем разе.

>Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

Бред говоришь? Почему-то пароли хранятся и в DES, и в MD5, и в Blowfish, последний метод используется по дефолту в некоторых дистрибутивах... :)

По поводу MD5:
Если:
MD5(X) = MD5(Y)
То:
MD5(X + A) = MD5(Y + A)

Подробнее про MD5: http://en.wikipedia.org/wiki/MD5#Security

>> Разработаны специальные механизмы для исключения ошибок людей >>(самая распространенная - повторное использование гаммы).

Вот-вот, тогда таких ещё не было, и благодаря одной (!) ошибке шифровальщика, который повторно использовал один и тот же листок, америкосам удалось расшифровать потрясающее количество сообщений - 0.1% :)

>Мечтательно так - Где бы такой калькулятор взять....

man bc

>все, кроме закрытых ключей.
А ключи снифернуть ? Какова вероятность что впервые присоединяясь к чужой машине по ssh меня ломанут ? Или они обмениваются открытыми ключами а потом шифруют и следовательно вероятность равна нулю ?

>XOR с длинной ключа равной длинне сообщенгия.
Именно это рулез истинный и есть !

консолька питона удобнее

неужели среди сегодняшнего виндузятнического поколения так немодно читать? курите доки на предмет "диффи-хелмана"

ну нах. питон ни разу не посикс. кроме того качай его еще, собирай... пусть остается на откуп красноглазой пионерии

зы. есть еще рулезный калькулятор - calc

>зы. есть еще рулезный калькулятор - calc

Это у маздайщиков что ли?

>> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

>Мечтательно так - Где бы такой калькулятор взять....

C:\>python -c "print 2**69" 590295810358705651712

Батя вам не то что в ляпикс - в венду пора. Даже вендовый calc справляется с такой задачей

> Если SHA1 отпадает, то что на сегодняшний день является безопасным?

durex

> Если: MD5(X) = MD5(Y) То: MD5(X + A) = MD5(Y + A)

ну и хренли?

если X^n + Y^n = Z^n, то (A*X)^n + (A*Y)^n = (A*Z)^n.

что это упрощает?

:)

примеры X^n + Y^n = Z^n,

при n>3 в студию!!!

>Бред говоришь? Почему-то пароли хранятся и в DES, и в MD5, и в >Blowfish, последний метод используется по дефолту в некоторых >дистрибутивах... :)

насколько я помню, там строка из пробелов шифруется. ключ - пароль. Но хеш функции работают по другому.

Как сказал Дилма, можно и блоуфиш использовать для создания хеша. Но это имхо абсолютно разные алгоритмы, у них нет ничего общего.

А дискуссия велась о хешах.

Бывают атаки типа "человек посередине"... Алгоритмы типа Диффи-Хеллмана пытаются с этим бороться..

А зачем примеры, если и так понятно, что когда вычисление идет на ограниченном поле (например 160 битами), то коллизии (т.е. эти самые равенства) обеспечены всегда.

А как быть, если если ни ты, ни машина к которой ты цепляешься заранее ничего друг о друге не знают (т.е ты знаешь только IP машины, никаких ключей/сертификатов, ничего другого о противоположной машине не известно)? Как ты убедишься, что попал на нужную машину?

От этого только настоящий сертификат спасет, по-моему.

что означает "на нужную машину" в данном контексте? получается как Алиса в зазеркалье -- если тебе неважно куда попасть, то неважно куда ты идешь.

> примеры X^n + Y^n = Z^n при n>3 в студию!!!

ЛОР говорит слишком длинное сообщение, не помещается на полях

> Бывают атаки типа "человек посередине"... Алгоритмы типа Диффи-Хеллмана пытаются с этим бороться..

Диффи-Хелман к man in the middle никакого отношения, на самом деле, не имеет.

1^5+(-1)^5=0^5

я так понимаю что это про теорему Ферма... дык там говорится про положительные целые числа в качестве X, Y и Z...

>(самая распространенная - повторное использование гаммы).

Вот это и имелось ввиду. Повторное использование.

>примеры X^n + Y^n = Z^n,

>при n>3 в студию!!!

Щаз кинутся теорему Ферма доказывать :)

ЗЫ. Слышал, что уже усе доказали.

>ничего другого о противоположной машине не известно)? Как ты убедишься, что попал на нужную машину?

И тут же противоречие

>От этого только настоящий сертификат спасет, по-моему

Т.е. сертификат не является информацией о машине?

>Т.е. сертификат не является информацией о машине?

Имеется ввиду сертификат на той же машине, удаленной, причем подписанный доверенной третьей стороной (например, Verisign). Изначально у тебя его нет.

Идешь на машину pupkin.ru. С той машины приходит сообщение, со словами "я - pupkin.ru", подписано сертификатом, который в свою очередь подписан Veridign. Берешь публичный ключ сертификата, шифруешь им некий пароль, отдаешь той машине. Та машина расшифровывает. Пароль используется для симметричного шифрования.

Все, man-in-the-middle ничего сделать не сможет. Сертификат настоящий - подписан Verisign-ом. Машина действительно pupkin.ru, Verisign тебе гарантирует, что этим сертификатом может обладать только pupkin.ru.

P.S. Считаем, что атака исключительно man-in-the-middle, т.е. DNS-ы, например, не врут, сертификаты лежат там, где им положено, их не воруют.

>Батя вам не то что в ляпикс - в венду пора. Даже вендовый calc справляется с такой задачей

Да ты гонишь. 2^69=5.9029581035870565e+20

%)

Ну хочешь попасть на pupkin.ru. Например, это банк какой-то - на рекламной вывеске написано. Заранее никаких ключей у тебя нет. Хочешь подключиться к этой машине. Как ты можешь быть уверен, что это действительно pupkin.ru, а не машина твоего соседа-кулхацкера?

>P.S. Считаем, что атака исключительно man-in-the-middle, т.е. DNS-ы, например, не врут, сертификаты лежат там, где им положено, их не воруют.

Понял. Идиальный газ, или сферический конь в вакууме.

:)

>Понял. Идиальный газ, или сферический конь в вакууме.

Нет. Чистая атака "man-in-the-middle"

> Я всегда считал что это нормальный способ получения криптохэша из шифрования -- как ключ берется или обычный хэш от текста или фиксированная всем известная случайная величина, или их смесь. Потом текст ей шифруется и берется обычный хэш нужного размера. Может не так эффективно, как специально разработанный криптохэш, но секурность должна быть нормальной..

Не всегда - подробнее см. "Прикладная криптография" Шнайера - раздел ключевае хэши. Кстати, ты совершенно прав про длину сообщения.

я уже понял что в том способе есть дырки. аккуратнее надо:)

>Нет. Чистая атака "man-in-the-middle"

Кто же так атакует???? :)))))

http://www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html:

It's time to walk, but not run, to the fire exits. You don't see smoke, but the fire alarms have gone off.' As Schneier suggests, 'It's time for us all to migrate away from SHA-1.' Alternatives include SHA-256 and SHA-512.