LINUX.ORG.RU

Взлом SHA-1

 sha-1,


4

5

Специалисты Google продемонстрировали первую коллизию хешей SHA-1. А именно, два разных PDF-файла с осмысленной картинкой и одинаковым значением SHA-1.

>>> Первый файл

>>> Второй файл

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: sudopacman (всего исправлений: 3)

Ответ на: комментарий от KivApple

В 1993 году NSA совместно с NIST разработали алгоритм безопасного хеширования (сейчас известный как SHA-0) (опубликован в документе FIPS PUB 180) для стандарта безопасного хеширования. Однако вскоре NSA отозвало данную версию, сославшись на обнаруженную ими ошибку, которая так и не была раскрыта. И заменило его исправленной версией, опубликованной в 1995 году в документе FIPS PUB 180-1.

Возможно, бэкдор был заложен изначально (a SHA-0 изначально был слишком хорош).

https://ru.wikipedia.org/wiki/SHA-1

atsym ★★★★★
()
Последнее исправление: atsym (всего исправлений: 1)
Ответ на: комментарий от atsym

«У меня дома не ходят в грязных ботинках - либо сними их, либо уходи»

«Или вы меня нормально обслуживаете, или подавайте жалобную книгу»

«Или ты перестаёшь опаздывать, или я тебя увольняю»

Это всё не преступления, а нормальная практика. Если это считать шантажом, то у людей вообще не будет никакой возможности строить договорные отношения. Ибо всегда кто-то что-то не хочет сделать и надо его мотивировать так или иначе.

Бить морду - незаконно. Выкладывать чью-нибудь переписку в общий доступ против воли участников - незаконно. А вот выгонять посторонних людей из своего жилища (если это не сотрудники полиции с ордером) - законно. Писать плохие отзывы в жалобной книге - законно. Увольнять работника за нарушения договора - законно. Публиковать или нет ссылки на кого-то на своём личном сайте - законно. Ну разве что есть всякие заморочки насчёт расизма, сексизма и т. д. Но никаких законов про запрет дискриминации людей по предпочитаемому алгоритму хеширования - нет.

А Google точно такой же частный сайт и каких-то прямо особых обязательств не имеет.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от atsym

Ну эта фирма является разработчиком протокола и софта, который МОЖЕТ БЫТЬ использован для нелегального файлообмена (более того, он очень активно используется именно с этой целью). Google собирается опубликовать софт, который МОЖЕТ БЫТЬ использован для взлома чьих-то паролей (если получилось украсть хеши и они в SHA-1). Однако сам по себе BitTorrent не начинает автоматически качать все пиратские материалы мира при запуске (пользователю надо найти подходящий трекер, а кому-то до этого ещё выложить туда нелегальный материал), точно также как и гугловский софт без напильника никого взломать не сможет (надо откуда-то раздобыть хеши паролей, подать их на вход утилите, правильно интерпретировать её выдачу). Таким образом ни Bittorrent Inc, ни Google ничего незаконного не совершают. Точно также как и производители кухонных ножей.

KivApple ★★★★★
()
Ответ на: А в "подробнее" все не заглянули? от mister_VA

Данный тип уязвимости в принципе не позволяет что-то там взломать.

взломать документ содержащий «шаблон»(будь то картинка или неважно какой дублирующийся шаблон)

дублирующийся шаблон-это банковские платежи гд только сумма и номера плательщика разные, и статических данных там более чем достаточно

тоесть все банковские платежи могут быть перехвачены(и за год-два) и взломаны

естестченно реального применения нет ибо слишком медленно

lwx51033
()
Ответ на: А в "подробнее" все не заглянули? от mister_VA

Следующим шагом в таком мошенничестве будет суд и до-о-о-лгое разбирательство.

Это если договор читают живые люди и всё контролируют. А если речь идёт об автоматизированной системе, проводящей миллионы транзакций в день? Может подмену потом и заметят, но может быть уже поздно - деньги давно вывели на дропа, а организаторы растворились.

Или, например, пароли на сайте хранятся в SHA-1 и хеши как-то утекли. Соответственно, злоумышленник подбирает пароль юзера и делает какие-то действия от его имени. Опять же потом, вероятно, это всё заметят, но может быть уже поздно (например, компромат был украден и опубликован).

Да, для массовой атаки эта уязвимость плохо подходит. Но для целевой - отлично. А это тоже хороший повод сменить алгоритм хеширования. Многие софтовые уязвимости тоже подходят только для целевых атак (ибо требуется сочетание целого ряда факторов), но их же фиксят, а не говорят «ну это редко проявляется, не будем фиксить».

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)

Так вот зачем на телефонах с андроидом по 8 ядер, а гуглохром грузит проц!

Promusik ★★★★★
()
Ответ на: комментарий от zoloz

они одинаковые ,надо было сделать что б они «конкретно» разные были ,видимо не смогли.

Они разные. Даже один изменённый байтик(фон шакпки) может в каком-либо договоре прибавить/убрать нолик стоимости контракта.

SHA-1 у нас любит использовать контур, так же есть в ЕГАИСовой джакарте (PKI-ключ). ОФД уже ГОСТ юзают. СБИС - не знаю.

drfaust ★★★★★
()
Ответ на: комментарий от user_id_68054

переход можно было бы разбить на несколько фаз:

Или сделать по-человечески, импорт одной командой типа git clone --sha2 old-repository. Процесс перевода на новую хэш функцию полностью детерминистичен, сначала проход до листьев в дереве (т. е. файлов), потом пересодание всех зависимых узлов (каталогов и коммитов) с новыми хэшами и остальными данными нетронутыми. Из-за детерминированности, конвертация 2х репозиториев содержащих общие данные на 2х разных машинах приведёт к тому, что общие данные между новыми репозиториями перехэшируются одинаково. В принципе, настроив локальное отображение старых хэшей на новые, можно обеспечить синхронизацию между реками с обоими типами хэшей. Единственно, что всё подписанное (теги и коммиты) превратятся в неподписанное, но это неважно, так как подписаный коммит ссылается через sha1 на корень дерева, значит после компрометации sha1 никакой надёжности больше нет, можно подобрать модифицированное дерево с тем же корневом хэшем, так что удаление подписи только избавит от ложной уверенности

khrundel ★★★★
()
Ответ на: комментарий от anonymous

У любых хэшей и комбинаций из нескольких видов хэшей вероятность коллизии для данных, размер которых больше размера хэша (или комбинации хэшей) не равна нулю. Вся соль во времени, которое нужно затратить на поиск такой коллизии.

anonymous
()
Ответ на: комментарий от KivApple

Так что цена взлома, хоть и не маленькая, но позволить его себе могут не единицы из списка Форбс, а десятки миллионов людей, просто если буду кушать годик немного поменьше.

Даже если таких людей 100 миллионов в мире, то это меньше 2% населения.

rezedent12 ☆☆☆
()
Ответ на: комментарий от khrundel

Или сделать по-человечески, импорт одной командой типа git clone --sha2 old-repository. Процесс перевода на новую хэш функцию полностью детерминистичен, сначала проход до листьев в дереве (т. е. файлов), потом пересодание всех зависимых узлов (каталогов и коммитов) с новыми хэшами и остальными данными нетронутыми. Из-за детерминированности, конвертация 2х репозиториев содержащих общие данные на 2х разных машинах приведёт к тому, что общие данные между новыми репозиториями перехэшируются одинаково. В принципе, настроив локальное отображение старых хэшей на новые, можно обеспечить синхронизацию между реками с обоими типами хэшей. Единственно, что всё подписанное (теги и коммиты) превратятся в неподписанное, но это неважно, так как подписаный коммит ссылается через sha1 на корень дерева, значит после компрометации sha1 никакой надёжности больше нет, можно подобрать модифицированное дерево с тем же корневом хэшем, так что удаление подписи только избавит от ложной уверенности

ну вообщем — тоже разумный вариант предлагаешь.. без этих моих сопливыз фаз, растянутых на года :-) ..

я такие радикальные варианты сразу не предлагал — так как заметил что сопливые переходные файзы — обычно нравятся потребителям :-) [и чем сопливее и длиннее переходная фаза — тем успешнее технология :)]..

user_id_68054 ★★★★★
()
Ответ на: комментарий от drfaust

Принципиально ГОСТ в данной ситуации ничем не лучше. Перебором можно любой «сломать».

Ky3mu4
()

это никакой не взлом, а демонстрация что могут существовать 2 файла с одинаково посчитаным sha-1,реально взломать видимо не смогли.
люди то они проверяют ещё и CRC-32/64 и sha-256.

zoloz
()
Ответ на: комментарий от zoloz

Даже больше, это демонстрация, что могут быть два условно корректных файла пдф,с разным содержимым, но одинаковыми суммами. Условно-это потому, что я не уверен в том, что внутри PDF нет проверки целостности файла. У CRC вероятность коллизий в несколько раз выше, т.к. длина всего 32 бита против 128.

Ky3mu4
()
Ответ на: комментарий от zoloz

нужно открывать перепись идиотов в этом треде.

anonymous
()

Все не так однозначно..

Нам не сказали, какой фирмы и модификации CPU и GPU. Скорее всего брались AMD, поэтому такие страшное количество годов, а вот если взять Intel/Nvidia, то все будет еще хуже(меншье лет уйдет).

abbat81 ★★
()

Перечитал статью в оригинале, четыре страницы комментариев, и так и не увидел реального юзкейса этого взлома.

Итак, если мне не изменяет знания моего английского, то я за 300 килобаксов зелени могу:

* Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге - неясно. Но ясно одно - хуита;

* Отослать Васяну письмо от имени соседского Вована, признаться ему в однополой любви и закрепить это цифровой подписью имени Вована;

* Скомпилировать ядро Линукса и подписать его (це) Майкрософт;

* С софтваре апдейтс честно говоря не совсем ясно. Вот я купил домой ферму асиков за стопицот лямов, и хочу чтобы соседский Васян когда будет обновлять Убунту с ua.ubuntu.com или шо там у этих домохозяйках нынче в sources.list прописано, вместо оригинального bash v.+1 скачал мой bash с мокрыми писечками. Что мне делать с моей фермой ?

* Могу запилить свой образ ОС с нескучными обоями и антивирусом Попова и выложить его к себе на сайт с котиками и посещаемостью два уника в месяц;

* С бэкап системс тоже ничего неясно. Вот у меня есть сервак, например он корпоративный. К нему по sshfs/cifs/nfs/ftp подмонтирован диск с соседнего NAS. Что сможет сделать злая мегакорпорация с моими бэкапами порнухи, имея 100500 GPU ?

* Могу отправить соседскому Васяну по электронке письмецо с вложением с такой же контрольной суммой как и файл ntoskrnl.exe и если Васян скачает какой-нить сс-клинер работающий по контрольной сумме, то у Вована слетит Винда, ололо.

- - -

В общем специалисты Гугол страдают херней.

vblats
()
Ответ на: комментарий от vblats

Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге - неясно. Но ясно одно - хуита;

Man in the middle.

Deleted
()
Ответ на: комментарий от d_a

Я сразу три считаю (md5, sha1, sha256) когда генерю релизы.

Почему бы не использовать один и тот же три раза подряд?

normann ★★★
()
Ответ на: комментарий от reedych

«Уже показательно, но времени на выкид ещё хоть ешь.»

Это говорит о том, что хакеры-одиночки еще гуляют, а организации с серьезными выч. мощностями уже могут нагибать кого угодно.

anonymous
()
Ответ на: комментарий от Ky3mu4

ага разными ,настолько разными что им хватило ума только поменять цвет ,вот если бы они вместо кролика нарисовали волка ,тогда было бы более убедительно .А ещё лучше подделали бы предоставленый им случайный файл с заранне не известным содержимым.

zoloz
()

Взлом SHA-1
два разных ...файла с ... одинаковым значением SHA-1

Я так понял - Ализар уже и на ЛОРе обосновался.

TI_Eugene ★★
()
Последнее исправление: TI_Eugene (всего исправлений: 1)

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU

о, нормально. мне как раз ближайшие 6500 лет заняться нечем - пойду что-нибудь поломаю

buratino ★★★★★
()
Ответ на: комментарий от anonymous_incognito

1000 GPU - это два-три мегабакса

Представил трёх megabaks, которые во время перебирания коллизии ругаются, что ты неправильно настроил генту.

a1batross ★★★★★
()
Ответ на: комментарий от anonymous

Поставил бы спеллчекер что ли. А то умничают и такие вдруг ошибки позорные.

А зачем спеллчекер. Можно же просто ещё на лор автозамен добавить, и корректоров-надзирателей. Кавычки же меняете мои, типа неправильные.

d_a ★★★★★
()
Ответ на: комментарий от normann

Почему бы не использовать один и тот же три раза подряд?

А вот написано:

Однако стоит отметить, что в настоящее время нет способов найти столкновения для хэшей MD5 и SHA-1 одновременно, что означает, что чтобы быть в безопасности все еще можно использовать старые доказанные хэш-функции, которые к тому же ускоряются аппаратно.

Так что по идее лучше разные.

d_a ★★★★★
()
Ответ на: Хакерам-одиночкам взлом SHA128 не под силу от atsym

это могла бы сделать только либо госструктура либо мегакорпорация с большими вычислительными мощностями

Или ваши конкуренты по бизнесу, которые тупо могут позволить себе арендовать пару тысяч gpu... Или кульхацкеры, которые запустят ботнет на миллионе кофемолок...

atrus ★★★★★
()
Ответ на: комментарий от vblats

Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге - неясно. Но ясно одно - хуита;

sha-1-only сертификаты может быть и подделаешь. Но, их уже года три с лишком не выдают и комодчики их бесплатно меняли на новые с sha-2. А те, что есть будут в браузерах метиться как ненадёжные, даже будучи валидными.

Что мне делать с моей фермой ?

Квартиру отапливать.

Что сможет сделать злая мегакорпорация с моими бэкапами порнухи, имея 100500 GPU ?

Родинку на жопе пририсуют и волосы на лобках.

В общем специалисты Гугол страдают херней.

Специалисты гугла занимаются делом. Емнип лет пять назад уже были статьи что sha-1 пора закапывать. Три с лишним года назад был хайп по смене сертификатов с sha-1 на sha-2. Полгода-год назад пригрозили, что будут сайты с такими сертификатами макать в кал.
И тут уже окончательно клюнул петух в задницу. И очень странно, что для некоторых это такая неожиданность. Люди, я с вас удивляюсь.

imul ★★★★★
()
Ответ на: комментарий от vblats

Тебе и привели реальный юзкейс.
Хотя его можно реализовать намного проще и менее затратно.

imul ★★★★★
()
Ответ на: комментарий от atrus

Или кульхацкеры, которые запустят ботнет на миллионе кофемолок...

Ну битки пытались считать на миллионах автомобильных видеорегистраторов. Обломались — быстродействие ниже порогового.

imul ★★★★★
()
Ответ на: комментарий от KivApple

Это достаточно много.

Достаточно много для буржуев :-)

А вот если бы каждый пролетарий (на самом деле не каждый, а лишь в относительно развитых странах) мог бы на домашнем ПК или днище-смартфоне взломать. То было бы другое дело. Чесались бы гораздо сильнее.

rezedent12 ☆☆☆
()
Ответ на: комментарий от imul

Ну битки пытались считать на миллионах автомобильных видеорегистраторов. Обломались — быстродействие ниже порогового.

Если подойти серьёзно и по крупному, то незачем делать это на ЦП видео-регистратора. Надо всего лишь наладить выпуск аппаратных видео-кодеров с функцией расчёта хэша, документировать её в принципе не обязательно. А себестоимость чипов в крупных партиях всё равно не зависит от их сложности.

rezedent12 ☆☆☆
()
Ответ на: комментарий от rezedent12

Так вроде хотели делать в конторке 21.co, и им даже инвестировали в это. Так-что вполне возможно, что такие устройства уже есть либо скоро будут.

anonymous
()
Ответ на: комментарий от iluha16

Это где такой банк?

Очевидно, что не в РФ.

Потребуется наверное много справок и объяснений как будет использоваться когда прибыль типа бизнес план.

Нет. Потребуется съездить в банк подписать бумаги. Если бизнес совсем уж ларёчный, надо будет дать достаточно убедительные устные объяснения представителю банка. А джентельменам, умеющим хотя бы завязать галстук, верят на слово.

Ну и какой смысл выкинуть столько денег вряд ли у кого то есть информация которая имеет такую стоимость.

Ну вот ты не знаешь, а кто-то знает, и уже, поди, закупает GPU вагонами. Торопись!

anonymous
()
Ответ на: комментарий от anonymous

В тот момент, когда ты перешёл на личности ты выписал себе путёвку в забвение. Прощай, маня.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.