LINUX.ORG.RU

SHA1 взломан


0

0

Известный специалист в области безопасности Bruce Schneier сообщает в своём web дневнике, что по известной ему информации, дайджест алгоритм SHA1 был "взломан". Также он добавляет: "Описание еще не доступно широкой общественности. В настоящее время я не могу сказать насколько реальной является атака, но описание выглядит хорошо, и создано уважаемой исследовательской группой".

>>> Подробности

★★★★★

Проверено: Pi ()
Ответ на: комментарий от mikhail

> Если SHA1 отпадает, то что на сегодняшний день является безопасным?

он еще не отпадает.

Во-первых, неясно, будет ли атака работать с произвольным текстом или только с заранее выбранным.
Во-вторых, число операций снижено с 2^80 до 2^69, что, безусловно, плохо, но еще не дает возможности рядовому пользователю успешно атаковать SHA1 даже с учетом birthday attack.
В-третьих, даже если атака работает с произвольным текстом, ясно, что подбор _осмысленного_ текста, соответствующего (если мы говорим в приложении к электронной подписи сообщений, а не теоритезируем) исходному, может оказаться сложной задачей.

В любом случае, про SHA256 и SHA512 пока никто не говорит, что они взломаны. ;)

ivlad ★★★★★
()
Ответ на: комментарий от anonymous

> алгоритм SHA1 был "взломан"

>Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

существует разница) между спецификацией и реализацией) и взлома данных на основе этой спецификации и реализации))

anonymous
()
Ответ на: комментарий от anonymous

> А есть сравнение надежности SHA и MD5 ?

У SHA1 выход длиннее.

ivlad ★★★★★
()
Ответ на: комментарий от anonymous

>Вы лучше объясните как можно взломать открытый алгоритм.

от же дурень, взламывают результат работы ...

практически все аглоритмы шифрации/хеш открыты

anonymous
()
Ответ на: комментарий от anonymous

> Вы лучше объясните как можно взломать открытый алгоритм.

так же как и открытую операционку

monk ★★★★★
()
Ответ на: комментарий от anonymous

>Вы лучше объясните как можно взломать открытый алгоритм.

не путай открытость алгоритма с дискретной математикой

Pi ★★★★★
()
Ответ на: комментарий от anonymous

>MD5 был взломан еще в прошлом году - на crypto 2004 (http://www.iacr.org/conferences/crypto2004/) объявили.

>http://www.mail-archive.com/cryptography%40metzdowd.com/msg02554.html

>Тогда же для кучи поломали md4, sha-0 и предсказали взлом sha1.

Я там нашёл только sha-0. Где там md4/5? Пожалуйста прямую ссылку.

mikhail
()
Ответ на: комментарий от anonymous

В теории криптографии ВСЕГДА считается, что злоумышленнику известен и способ кодирования и способ передачи, короче все, кроме закрытых ключей. То, что есть спецификация не означает, что ты его взломаешь. Весь смысл в математике преобразований. Учите, короче говоря, мат.часть.

stasL
()
Ответ на: комментарий от anonymous

проще самому какой нибудь простой алгоритм накропать и юзать. из за малоизвестности его хрен кто взломает.

anonymous
()
Ответ на: комментарий от Pi

Большинство комментаторов совершенно не понимают о чем идет речь.

Хэш-функция - это _одностороннее_ математическое преобразование, которое из произвольной входной последовательности дает на выходе _уникальную_ последовательность фиксированной длины.

Коллизия хэш-функции - повторение выходного значения при разных входных данных.

В блоге Б.Шнейдера говорится, что есть сообщение от китайских исследователей (подробности пока недоступны), что у полной хэш-функции SHA1 коллизии наблюдаются на входном множестве 2*69 вместо теоретического значения 2*80. Без сомнения - это плохая новость. Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69. (Вспомните легенду про изобретателя шахмат - там шла речь о количестве зерен на шахматной доске = 2*64).

Так что заварачиваться в саван и ползти на кладбище еще рано..

anonymous
()

Используйте WHIRLPOOL

anonymous
()
Ответ на: комментарий от realloc

> seucre = SHA1(MD5(3DES("string")));

речь же идет о криптохэшах а не о шифровании. Наслаивание криптохэшей усложняет взлом максимум в 2-3 раза -- сперва ищутся коллизии внешнего хэша, потом внутреннего.

Битность нужно повышать..

dilmah ★★★★★
()
Ответ на: комментарий от dilmah

Это была шутка из серии "DES для паролей не секурно - используйте PGP" :)

>речь же идет о криптохэшах а не о шифровании. Наслаивание криптохэшей усложняет взлом максимум в 2-3 раза -- сперва ищутся коллизии внешнего хэша, потом внутреннего.

realloc ★★★★
()
Ответ на: комментарий от anonymous

> Хэш-функция - это _одностороннее_ математическое преобразование, которое из произвольной входной последовательности дает на выходе _уникальную_ последовательность фиксированной длины.

Хотел, наверное, написать _неуникальную_? По определению.

stinkrat
()
Ответ на: комментарий от anonymous

Да пользуйся ты SHA-1 наздоровье)) 2*69 это конечно не 2*80 но знаешь) тоже очень не слабо))))

anonymous
()
Ответ на: комментарий от anonymous

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69.

ну, а для чего по твоему теперь можно купить процессорное время Grid у Sun? ;)

ivlad ★★★★★
()
Ответ на: комментарий от stinkrat

> Хотел, наверное, написать _неуникальную_? По определению.

Уникальную в смысле - с вероятностью повторения близкой к нулю.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

> Хотел, наверное, написать _неуникальную_? По определению.

Неуникальная хэш-последовательность, по определению, - это коллизия.

>Уникальную в смысле - с вероятностью повторения близкой к нулю.

Раньше вероятность повторения оценивали как 1/2*80. А теперь, если подтвердится исследование, эта вероятность будет 1/2*69

anonymous
()
Ответ на: комментарий от anonymous

>> Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

>ГОСТ Р 34.11 - 94

XOR с длинной ключа равной длинне сообщенгия.

:)

vada ★★★★★
()
Ответ на: комментарий от Pi

однако так и кодировали советские сообщения для шпионов в Америкосии (после войны) - в соотвествии с бумажкой, на который сгенерены случайные числа + нехитрые манипуляции с числами. Если на другом конце провода у тебя такой бумажки нет, то хрен что расшифруешь, особенно, когда таких сообщений очень много. По-мойму такой способ так и назывался - "листок бумаги" или "блокнот", или что-то типа того :)

Krasu
()
Ответ на: комментарий от Krasu

>однако так и кодировали советские сообщения для шпионов в Америкосии
>(после войны) - в соотвествии с бумажкой, на который сгенерены
>случайные числа + нехитрые манипуляции с числами. Если на другом конце
>провода у тебя такой бумажки нет, то хрен что расшифруешь, особенно,
>когда таких сообщений очень много. По-мойму такой способ так и
>назывался - "листок бумаги" или "блокнот", или что-то типа того :)

Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается.

vada ★★★★★
()
Ответ на: комментарий от anonymous

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

Мечтательно так - Где бы такой калькулятор взять....

:)

vada ★★★★★
()
Ответ на: комментарий от vada

>При достаточном объеме перехватов такой код ломается.

Чушь!

Одноразовый блокнот - это и есть абсолютно невзламываемый шифр (шифр Шеннона). При условии, что гамма (накладываемый ключ) _действительно_ белый шум, длинна гаммы равна длинне сообщения и, самое главное, гамма никогда не применяется повторно.

Эти условия, абсолютно точно, соблюдаются всеми спецслужбами мира. Разработаны специальные механизмы для исключения ошибок людей (самая распространенная - повторное использование гаммы).

Дорогое удовольствие это, однако...

anonymous
()
Ответ на: комментарий от vada

> Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается

нет, как раз наоборот. этот метод называется кажется одноразовый блокнот. суть в том что каждое сообщение ксорится таким же по длинне ключем, а ключ этот одноразовый. "блокнот" с ключем существует в двух экземплярах (у разведчика-шпиона и в центре-логове) и можно хоть обпередаваться этими сообщениями - хрен чего вскроешь.

HellAngel ★★
()
Ответ на: комментарий от vada

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

>Мечтательно так - Где бы такой калькулятор взять....

Без калькулятора, на пальцах :-))

2*10=1024 ~ 10*3

Соответственно 2*69 ~ 10*21 - по порядку верно.

anonymous
()
Ответ на: комментарий от anonymous

а логарифмы в школе уже перестали читать? стали только на пальцах показывать? )))

HellAngel ★★
()
Ответ на: комментарий от HellAngel

>HellAngel:

Но страничка то каждый раз новая :)

anonymous
()
Ответ на: комментарий от mikhail

>Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

>Теперь надо и про SHA-1 пофлеймить...

>Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

Майкл, при чем тут блоуфиш???? md5 и sha1 - хеш функции. А блоуфиш блочный шифр.

Одно другого не заменяет ну ни в коем разе.

Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

PS Blowfish еще не взломан, и помоему нету даже предсказаний что это когда-нить случиться. Хотя может я и не прав.

OxiD ★★★★
()
Ответ на: комментарий от anonymous

> В блоге Б.Шнейдера говорится, что есть сообщение от китайских
> исследователей (подробности пока недоступны), что у полной
> хэш-функции SHA1 коллизии наблюдаются на входном множестве 2*69
> вместо теоретического значения 2*80.
Нет, как я понимаю, там написано, что им удалось создать
алгоритм для получения коллизии за 2^69 операций хеширования,
в то время как обычный брут-форс даёт коллизию за 2^80.
Т.е. они существенно снизили время взлома, а не просто
пересчитали заново вероятность появления коллизии.

> Большинство комментаторов совершенно не понимают о чем идет речь.
Похоже, это как раз только вы:)

anonymous
()
Ответ на: комментарий от anonymous

>в то время как обычный брут-форс даёт коллизию за 2^80.

Брут-форс (полный перебор) - это и есть "теоретическое значение". Сие означает, что во входном множестве мощностью 2*80+1 гарантировано есть, как минимум, две последовательности, имеющие одинаковый хэш.

>им удалось создать алгоритм для получения коллизии за 2^69 операций хеширования

>>коллизии наблюдаются на входном множестве 2*69

Одно и то-же, только другими словами!

>Похоже, это как раз только вы:)

Когда человек не различает смысла из-за перемены порядка слов, это означает только одно - он ни хрена не понимает предмета обсуждения.

anonymous
()
Ответ на: комментарий от OxiD

> Одно другого не заменяет ну ни в коем разе. Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

почему? Я всегда считал что это нормальный способ получения криптохэша из шифрования -- как ключ берется или обычный хэш от текста или фиксированная всем известная случайная величина, или их смесь. Потом текст ей шифруется и берется обычный хэш нужного размера. Может не так эффективно, как специально разработанный криптохэш, но секурность должна быть нормальной..

dilmah ★★★★★
()
Ответ на: комментарий от anonymous

> Сие означает, что во входном множестве мощностью 2*80+1 гарантировано есть, как минимум, две последовательности, имеющие одинаковый хэш.

Не, не гарантировано. Гарантировано в 2^160+1. 2^80 взялось из уже упонимавшегося birthday attack..

dilmah ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.