|
På Eurocrypt2009 framkom det att attacken med SHA-1 kollisioner har blivit förbättrad till 2^52 operationer.
http://eurocrypt2009rump.cr.yp.to/837a0a80...409ddfae43d.pdf För många år sen när SHA1 var en ny algoritm låg kollisionssäkerheten på 2^80 operationer, det är så pass mkt att även en stor organisation inte kunde skapa kollisioner. Allt eftersom åren gått har attackerna förbättras och är nu nere på 2^52. 2^52 är definitiv inte tillräckligt för en hashfunktion. De kollisioner som man syftar på är av typen "chosen-prefix", precis som med MD5-kollisionerna så påverkar dessa kollisioner inte vanliga lösenordssystem, men i praktiken kan man säga att SHA1 blir oanvändbar som signaturalgoritm, när en hashalgoritm blir knäckt man man skapa mkt allvarliga attacker, precis som man gjorde med MD5: http://www.sitic.se/publikationer/namnvart...v-md5-attacken/ Om ovanstående 2^52-attack är korrekt innebär det att man skyndsamt skall sluta använda SHA-1 som signaturalgoritm, detta kommer att påverka många företag, organisationer och programvaror, t.ex OpenSSL och OpenPGP, dom flesta HTTPS sidor kommer att behöva byta ut sina certifikat. |
\o/
SHA-2 nästa. |
"Well funded orgainsations" står det i det dokument du länkade till... Jag skulle vilja se detta omsättas i praktiken. Det har i princip ingen som helst praktisk betydelse bara för att man rent teoretiskt kan visa en risk.
Det är lite som att säga att om gummit på vänster framhjul på din bil plötsligt överhettas och blir flytande så kraschar du din bil. Det är högst osannolikt. Men det är alltid kul med teorier... |
Förtydligar denna nyhet lite grand.
För 99% av oss webutvecklare finns det varken anledning till oro eller anledning att ändra i befintlig kod. De svaheteter som finns i både SHA-1 och MD5 påverkar mycket lite om man använder hashen som en checksumma eller använder den för att förstöra lösenord i en databas. Som det står i texten kan det dock vara så att SHA-1 inte längre är lämplig att använda vid kryptografisk kommunikation. Detta är dock inget att oroa sig för - alla kryptogram går att forcera bara man har tillräckligt med tid på sig, och allt denna nya upptäckten leder till är att man kan ha möjlighet att förkorta den tiden lite. |
Vad ligger kollisionssäkerheten på hos MD5?
|
Citat:
Det är på serversidan som denna typ av kollisioner kan påverka. |
Xamda & Coredev:
Ni bör nog läsa och förstå MD5-attacken först, den tvingade RapidSSL att ändra sina rutiner samt att många serverägare fick byta ut sina SSL-certifikat + en del andra åtgärder, att vifta bort denna förbättrade SHA1 attack som ointressant gör garanterat ingen som är insatt i kryptering. Om SHA1-attacken ovan stämmer så blir det en påtvingad snabbare utfasning av SHA1. |
Citat:
|
Citat:
Jag postade min "avdramatesering" med tanke på vilken publik som rör sig på WebmasterNetwork.se. Som jag skriver så använder många i vår bransch inte SHA-1 i ett samanhang som gör att den nya sårbarheten går att utnyttja. Det är helt enkelt viktigare för våra kära kollegor att höja andra säkerhetsaspekter än att börja byta SHA-1 till SHA-512. Väldigt många lagrar t.ex. fortfarande (!) lösenord i klartext / är känsliga för SQL-injections. Du skriver att utfasningen av SHA-1 kan bli snabbare. Det är både sant och falskt. SHA-1 kommer tyvärr att vara en del i väldigt många kommuikationslösningar under lång tid framöver - precis som MD5 fortfarande är. Det finns tyvärr alldeles för många gamla system som står och snurrar som inte kommer att bli uppdaterade. Vi får dock hoppas på att nya kommunikationsstandarder använder lite mer moderna algoritmer. :) |
Citat:
|
| Alla tider är GMT +2. Klockan är nu 09:25. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson