04.06 // Опубликована работа по нахождению коллизий в SHA-1 за 252 шагов
После краткого анонса на конференции Eurocrypt-2009 Cameron McDonald, Philip Hawkes и Josef Pieprzyk опубликовали работу Differential Path for SHA-1 with complexity $O(2^{52})$.
Рассмотрев все известные ранее способы нахождения коллизий и применив комплексный подход, объединяющий обычный дифференциальный анализ с его разновидностью в виде бумеранг-атак, ранее применявшихся только для блочных шифров, авторам удалось найти атаку на нахождение коллизии в SHA-1 за время O(252).
Напомним, что теоретический предел стойкости SHA-1 к нахождению коллизий 280, а продемонстрированная ранее самая успешная атака имела сложность 263. Такое снижение времени нахождения коллизий является существенным прогрессом в криптоанализе и приближает к возможному осуществлению практических атак на SHA-1
Источник: Cryptology ePrint Archive
комментариев: 9796 документов: 488 редакций: 5664
Смотря насколько точно оценить время из абстрактных шагов в O в реальных затратах.
бытовыхигровых видеокарт. См google:CUDA+brute+forcer. И с этим ещё можно устроить распределённые вычисления.комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 155 документов: 20 редакций: 5
И тут есть один момент. Какова длина хеша, используемого для расшифровки ключа? А то я так понимаю, прообраз прообразом, но чисто из моего представления о коллизиях, выходит, что на ограниченном прообразе число возможных вариантов хеша не может быть равно 2^N Да и в Википедии вы найдете одинаковые по длине (и короткие) прообразы с коллизией.
комментариев: 11558 документов: 1036 редакций: 4118
Нет, хэш пароля сам и является ключом.
комментариев: 155 документов: 20 редакций: 5
Наверное, я бы предложил следующую схему: 48 символьный пароль сжимается в 256 битное число по принципу base64. Если же просто вычислить хеш, аналогичной стойкости не получим. Затем в цикле многократно вычисляем блочный шифр от самого себя, с добавлением соли. Если вычислять многократно хеш на прообразе, равном длине хеша, получим коллизии, и в конечном счете, меньшее число комбинаций. Этот вопрос не однократно поднимался на этом сайте.
Как минимум, в bestcrypt можно менять пароль контейнера, без перешифрования всего контейнера.
комментариев: 11558 документов: 1036 редакций: 4118
А если пароль не 48 бит, то чем дополнять? А если шифр не 256-битовый, а 128, то жертвовать энтропией пароля?
Это уже нюансы конкретной реализации. S2K, как таковой, просто преобразует пароль в симметричный ключ; что с полученным ключом делают дальше — не важно.