SHA-1 Broken
Увидел в Ru. Crypt:
У Шнайера опубликовано.
http://www.schneier.com/blog/a...../02/sha1_broken.html
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 9796 документов: 488 редакций: 5664
SHA-2(256,512) будут следующими.
Пока единственно стойкой и имеющей репутацию может считаться хэш-функция WHIRLPOOL, использующая "wide-trail" – дизайн (такой же как у AES-RIJNDAEL). Хотя все равно надо бы разрабатывать что-то новое, с учетом последних работ.
комментариев: 11558 документов: 1036 редакций: 4118
Как известно, атаки всегда улучшаются, но никогда не становятся хуже, так что можно быть уверенным, что исследователи доведут результат до большей практической пригодности. Действительно, прошло лишь полгода после Crypto'2004, а мы уже оказываемся в ситуации, когда использование любых старых алгоритмов — риск.
комментариев: 9796 документов: 488 редакций: 5664
Если существование алгоритма взлома доказано, он быстрее чем "Brute force", (не по реальной скорости, а по числу операций – скорость достаточно оценить на уровне порядков) и он направлен на оригинальный (а не упрощенный алгоритм), то взлом можно считать состоявшимся. Неважно сколько времени ждать до его практической реализации. Ждать уже нет смысла.
Странно только то, что и оригинальная работа по взлому MD5 с подробным описанием алгоритма получения результатов не опубликована. Возможно работа по SHA1 будет приведена в таком же урезанном виде. Темнят что-то китайцы ;-)
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
И атака на хэш-функции так и не будет названа Wang-Yin-Yu. Пожелаем им удачного побега и надежного политического убежища. Может тогда мы все узнаем из первоисточников.
комментариев: 9796 документов: 488 редакций: 5664
Я бы перевел как "где коллизии не имеют особого значения". В новости на Главной получилось по-другому –
в принципе верно и то и другое. В HMAC атаку на основе "парадокса дней рождения" применить невозможно (по крайней мере напрямую) – нельзя сгенерировать подобранные пары блоков, порождающие коллизию.
С другой стороны если противник може сотни тысяч лет перехватывать гигабайты данных в секунду, то он может дождаться случайных коллизий и на их основе построить атаку вычисления ключа. (Вдруг владельцы сети забудут поменять ключ и так и не вспомнят про это через 100000 лет?).
комментариев: 25 документов: 1 редакций: 0
На базе их работы по MD5 уже вовсю стругают вполне практические вещи. Например здесь: http://cryptography.hyperlink.cz/2004/MD5-POC.pdf
В белой бумажке написано как делать самораспаковывающиеся архивы с одинаковым md5 хешем и кое-что ещё. Более того, у них на сайте есть рабочий вариант с исходникам для генерации таких архивов.
2^69 операций это довольно большое число для повсеместного применения. В том же блоге Шнайера в комментариях кто-то даже посчитал сколько это будет в годах при выполнении кода на среднестатистической тачке — 4000 лет ;)
Другое дело, что алгоритм прилижут и оптимизируют. Да и прогресс вычислительных мощностей ползёт вверх.
А по поводу Китайцев я уже устал прикалываться (на SQL. RU чисто случайно развели бодягу про стойкость MD5, пришлось доказывать — пока два разных файла с одинаковым хешем им не показал, не верили). Кому интересно, подробности этой баталии тут: http://www.livejournal.com/users/denish_labs/788.html
комментариев: 11558 документов: 1036 редакций: 4118
Не будем забывать об износе оборудования и старении носителей информации (а чем более дискретно и менее избыточно эта информация будет "носиться", стареть носители будут ой-ёй-ёй!). Через 100000 лет и кремниевые чипы, и магнитные, оптические, голографические и всякие разные другие диски в прах превратятся. ;)
Тут в дискуссионном листе на gnupg.org ещё вот такой комментарий появился:
А в IETF OpenPGP ещё неделю назад только обсуждали, уходить с SHA-1 как обязательного алгоритма или нет. В итоге пришли к заключению, что 3DES, конечно, заменим, ну, а SHA-1 оставим, как есть. С интересом ожидаю, чем продолжится дискуссия и что скажут вечные скептики из GnuPG. :)
комментариев: 9796 документов: 488 редакций: 5664
2 Николай: я читал что-то подобное в 2004 году. Это была просто концептуальная демка, основанная на том, что если найдена коллизия в первом ВХОДНОМ блоке (а он равен 512 бит, а не 128 или 160 (ВЫХОДНОЙ блок) – если мне память не изменяет – сейчас под рукой документации нет), то к этому блоку можно добавить какие-угодно ОДИНАКОВЫЕ данные, тогда получаться два разных (но ТОЛЬКО в ПЕРВЫХ БЛОКАХ) файла. На основе этого можно создавать и самораспаковывающиеся архивы в том числе. Интересно, но не слишком практично. Пока еще.
А про китайцев забавно. Похоже на "мудрый и миролюбивый советский народ". Т.е. на россиян и их соседей по СССР в недалеком прошлом. Поэтому наверное такое умиление и вызывают.
А атака называется в честь Chabaud-Joux, которые разбирали и дополняли исследование, а не по именам китайцев. Ну наподобие того, как радио изобрел не Попов, а Маркони и т.д. Плата за закрытость, обособленность, "свой особый путь" и т.д..
Странно, но я приводил массу ссылок на работы, где ненадежность SHA1 убедительно предсказывалась еще сразу после взлома MD5. Если принцип Дамгарда-Меркла себя не оправдал, если несбалансированные сети Файстеля с регистрами сдвига тоже показали себя не лучшим образом (по крайней мере в данном дизайне для хэш-функций), нет смысла цепляться и за SHA-2.
Сейчас я думаю сильно возрастет интерес к функции WHIRLPOOL, которая до этого никому не была нужна из-за своей медлительности.
Кстати, когда злободневность новости поутихнет, может приклеим ее обсуждение в тему "Неожиданные события...в криптоанализе хэш-функций ". Просто там хронология вопроса хорошо отразилась и проще ссылаться на то, что уже обсуждалось. Может, кому из новых участников форума будет интересно, тогда можно читать по порядку с момента начала обсуждения.
комментариев: 9796 документов: 488 редакций: 5664
http://www.commsdesign.com/new.....l? ArticleID=60401254
комментариев: 11558 документов: 1036 редакций: 4118
Я бы посоветовал в "Неожиданных событиях..." разместить ссылку на данный топик. Просто если две дискуссии объединять, придётся в разделе новостей ссылки править.
А что можно сказать про функции семейства RIPEMD? 128-битная, как говорилось, ненадёжна, а остальные?
комментариев: 9796 документов: 488 редакций: 5664
Есть еще TIGER – авторы Ross Anderson, Eli Biham. Ее специально создавали непожей на MDx. В ней есть большие 8x64 S-блоки. Но создавали ее в свете последних событий давно и много тогда возможно не знали.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Шедевр! Привожу полностью. Без смеха читать невозможно.