SHA1 взломан

Re: SHA1 взломан

> алгоритм SHA1 был "взломан"

Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

Re: SHA1 взломан

> Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

и?

ivlad (16.02.2005 13:30:51)

Re: SHA1 взломан

Если SHA1 отпадает, то что на сегодняшний день является безопасным?

mikhail (16.02.2005 13:31:31)

Re: SHA1 взломан

>что на сегодняшний день является безопасным?

призирвативы

Sun-ch (16.02.2005 13:35:02)

MD5 рулит

MD5 рулит

Re: SHA1 взломан

$seucre = SHA1(MD5(3DES("string")));

З.Ы. И накаких половых контактов :)

realloc (16.02.2005 13:37:49)

Re: SHA1 взломан

> Если SHA1 отпадает, то что на сегодняшний день является безопасным?

он еще не отпадает.

Во-первых, неясно, будет ли атака работать с произвольным текстом или только с заранее выбранным.
Во-вторых, число операций снижено с 2^80 до 2^69, что, безусловно, плохо, но еще не дает возможности рядовому пользователю успешно атаковать SHA1 даже с учетом birthday attack.
В-третьих, даже если атака работает с произвольным текстом, ясно, что подбор _осмысленного_ текста, соответствующего (если мы говорим в приложении к электронной подписи сообщений, а не теоритезируем) исходному, может оказаться сложной задачей.

В любом случае, про SHA256 и SHA512 пока никто не говорит, что они взломаны. ;)

ivlad (16.02.2005 13:39:01)

Re: SHA1 взломан

> алгоритм SHA1 был "взломан"

>Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

существует разница) между спецификацией и реализацией) и взлома данных на основе этой спецификации и реализации))

Re: SHA1 взломан

Нифига, так может получиться гораздо слабее чем отдельные хэш функции.

Re: SHA1 взломан

А есть сравнение надежности SHA и MD5 ?

Re: SHA1 взломан

> А есть сравнение надежности SHA и MD5 ?

У SHA1 выход длиннее.

ivlad (16.02.2005 13:57:55)

Re: SHA1 взломан

Вы лучше объясните как можно взломать открытый алгоритм.

Re: SHA1 взломан

))))))))))))))0

Re: SHA1 взломан

MD5 был взломан еще в прошлом году - на crypto 2004 (http://www.iacr.org/conferences/crypto2004/) объявили.

http://www.mail-archive.com/cryptography%40metzdowd.com/msg02554.html

Тогда же для кучи поломали md4, sha-0 и предсказали взлом sha1.

Re: SHA1 взломан

SSHA

dotcoder (16.02.2005 14:03:10)

Re: SHA1 взломан

>Вы лучше объясните как можно взломать открытый алгоритм.

от же дурень, взламывают результат работы ...

практически все аглоритмы шифрации/хеш открыты

Re: SHA1 взломан

> Вы лучше объясните как можно взломать открытый алгоритм.

так же как и открытую операционку

monk (16.02.2005 14:14:26)

Re: SHA1 взломан

>Вы лучше объясните как можно взломать открытый алгоритм.

не путай открытость алгоритма с дискретной математикой

Pi (16.02.2005 14:17:31)

Re: SHA1 взломан

>MD5 был взломан еще в прошлом году - на crypto 2004 (http://www.iacr.org/conferences/crypto2004/) объявили.

>http://www.mail-archive.com/cryptography%40metzdowd.com/msg02554.html

>Тогда же для кучи поломали md4, sha-0 и предсказали взлом sha1.

Я там нашёл только sha-0. Где там md4/5? Пожалуйста прямую ссылку.

mikhail (16.02.2005 14:29:41)

Re: SHA1 взломан

В теории криптографии ВСЕГДА считается, что злоумышленнику известен и способ кодирования и способ передачи, короче все, кроме закрытых ключей. То, что есть спецификация не означает, что ты его взломаешь. Весь смысл в математике преобразований. Учите, короче говоря, мат.часть.

stasL (16.02.2005 14:30:17)

Re: SHA1 взломан

Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

Теперь надо и про SHA-1 пофлеймить...

Re: SHA1 взломан

вот я и говорю, учите матчасть, алгоритм нельзя взломать.

Re: SHA1 взломан

проще самому какой нибудь простой алгоритм накропать и юзать. из за малоизвестности его хрен кто взломает.

Re: SHA1 взломан

самое большое заблуждение в этом мире :)

Pi (16.02.2005 14:56:05)

Re: SHA1 взломан

>Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

>Теперь надо и про SHA-1 пофлеймить...

Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

mikhail (16.02.2005 15:16:09)

Re: SHA1 взломан

Большинство комментаторов совершенно не понимают о чем идет речь.

Хэш-функция - это _одностороннее_ математическое преобразование, которое из произвольной входной последовательности дает на выходе _уникальную_ последовательность фиксированной длины.

Коллизия хэш-функции - повторение выходного значения при разных входных данных.

В блоге Б.Шнейдера говорится, что есть сообщение от китайских исследователей (подробности пока недоступны), что у полной хэш-функции SHA1 коллизии наблюдаются на входном множестве 2*69 вместо теоретического значения 2*80. Без сомнения - это плохая новость. Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69. (Вспомните легенду про изобретателя шахмат - там шла речь о количестве зерен на шахматной доске = 2*64).

Так что заварачиваться в саван и ползти на кладбище еще рано..

Re: SHA1 взломан

Используйте WHIRLPOOL

Re: SHA1 взломан

> seucre = SHA1(MD5(3DES("string")));

речь же идет о криптохэшах а не о шифровании. Наслаивание криптохэшей усложняет взлом максимум в 2-3 раза -- сперва ищутся коллизии внешнего хэша, потом внутреннего.

Битность нужно повышать..

dilmah (16.02.2005 15:45:42)

Re: SHA1 взломан

Это была шутка из серии "DES для паролей не секурно - используйте PGP" :)

>речь же идет о криптохэшах а не о шифровании. Наслаивание криптохэшей усложняет взлом максимум в 2-3 раза -- сперва ищутся коллизии внешнего хэша, потом внутреннего.

realloc (16.02.2005 16:18:05)

Re: SHA1 взломан

> Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

ГОСТ Р 34.11 - 94

Re: SHA1 взломан

господа а что скажете о RIPEMD160 в качестве альтернативы ...

Re: SHA1 взломан

> Хэш-функция - это _одностороннее_ математическое преобразование, которое из произвольной входной последовательности дает на выходе _уникальную_ последовательность фиксированной длины.

Хотел, наверное, написать _неуникальную_? По определению.

Re: SHA1 взломан

Да пользуйся ты SHA-1 наздоровье)) 2*69 это конечно не 2*80 но знаешь) тоже очень не слабо))))

Re: SHA1 взломан

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69.

ну, а для чего по твоему теперь можно купить процессорное время Grid у Sun? ;)

ivlad (16.02.2005 17:00:20)

Re: SHA1 взломан

> Хотел, наверное, написать _неуникальную_? По определению.

Уникальную в смысле - с вероятностью повторения близкой к нулю.

LamerOk (16.02.2005 17:08:38)

Re: SHA1 взломан

> Хотел, наверное, написать _неуникальную_? По определению.

Неуникальная хэш-последовательность, по определению, - это коллизия.

>Уникальную в смысле - с вероятностью повторения близкой к нулю.

Раньше вероятность повторения оценивали как 1/2*80. А теперь, если подтвердится исследование, эта вероятность будет 1/2*69

Re: SHA1 взломан

>> Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

>ГОСТ Р 34.11 - 94

XOR с длинной ключа равной длинне сообщенгия.

:)

vada (16.02.2005 18:25:28)

Re: SHA1 взломан

однако так и кодировали советские сообщения для шпионов в Америкосии (после войны) - в соотвествии с бумажкой, на который сгенерены случайные числа + нехитрые манипуляции с числами. Если на другом конце провода у тебя такой бумажки нет, то хрен что расшифруешь, особенно, когда таких сообщений очень много. По-мойму такой способ так и назывался - "листок бумаги" или "блокнот", или что-то типа того :)

Re: SHA1 взломан

>однако так и кодировали советские сообщения для шпионов в Америкосии
>(после войны) - в соотвествии с бумажкой, на который сгенерены
>случайные числа + нехитрые манипуляции с числами. Если на другом конце
>провода у тебя такой бумажки нет, то хрен что расшифруешь, особенно,
>когда таких сообщений очень много. По-мойму такой способ так и
>назывался - "листок бумаги" или "блокнот", или что-то типа того :)

Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается.

vada (16.02.2005 18:43:45)

Re: SHA1 взломан

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

Мечтательно так - Где бы такой калькулятор взять....

:)

vada (16.02.2005 18:50:47)

Re: SHA1 взломан

>При достаточном объеме перехватов такой код ломается.

Чушь!

Одноразовый блокнот - это и есть абсолютно невзламываемый шифр (шифр Шеннона). При условии, что гамма (накладываемый ключ) _действительно_ белый шум, длинна гаммы равна длинне сообщения и, самое главное, гамма никогда не применяется повторно.

Эти условия, абсолютно точно, соблюдаются всеми спецслужбами мира. Разработаны специальные механизмы для исключения ошибок людей (самая распространенная - повторное использование гаммы).

Дорогое удовольствие это, однако...

Re: SHA1 взломан

> Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается

нет, как раз наоборот. этот метод называется кажется одноразовый блокнот. суть в том что каждое сообщение ксорится таким же по длинне ключем, а ключ этот одноразовый. "блокнот" с ключем существует в двух экземплярах (у разведчика-шпиона и в центре-логове) и можно хоть обпередаваться этими сообщениями - хрен чего вскроешь.

HellAngel (16.02.2005 18:58:25)

Re: SHA1 взломан

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

>Мечтательно так - Где бы такой калькулятор взять....

Без калькулятора, на пальцах :-))

2*10=1024 ~ 10*3

Соответственно 2*69 ~ 10*21 - по порядку верно.

Re: SHA1 взломан

а логарифмы в школе уже перестали читать? стали только на пальцах показывать? )))

HellAngel (16.02.2005 19:11:12)

Re: SHA1 взломан

>HellAngel:

Но страничка то каждый раз новая :)

Re: SHA1 взломан

>Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

>Теперь надо и про SHA-1 пофлеймить...

>Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

Майкл, при чем тут блоуфиш???? md5 и sha1 - хеш функции. А блоуфиш блочный шифр.

Одно другого не заменяет ну ни в коем разе.

Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

PS Blowfish еще не взломан, и помоему нету даже предсказаний что это когда-нить случиться. Хотя может я и не прав.

OxiD (16.02.2005 19:21:12)

Re: SHA1 взломан

> В блоге Б.Шнейдера говорится, что есть сообщение от китайских
> исследователей (подробности пока недоступны), что у полной
> хэш-функции SHA1 коллизии наблюдаются на входном множестве 2*69
> вместо теоретического значения 2*80.
Нет, как я понимаю, там написано, что им удалось создать
алгоритм для получения коллизии за 2^69 операций хеширования,
в то время как обычный брут-форс даёт коллизию за 2^80.
Т.е. они существенно снизили время взлома, а не просто
пересчитали заново вероятность появления коллизии.

> Большинство комментаторов совершенно не понимают о чем идет речь.
Похоже, это как раз только вы:)

Re: SHA1 взломан

>в то время как обычный брут-форс даёт коллизию за 2^80.

Брут-форс (полный перебор) - это и есть "теоретическое значение". Сие означает, что во входном множестве мощностью 2*80+1 гарантировано есть, как минимум, две последовательности, имеющие одинаковый хэш.

>им удалось создать алгоритм для получения коллизии за 2^69 операций хеширования

>>коллизии наблюдаются на входном множестве 2*69

Одно и то-же, только другими словами!

>Похоже, это как раз только вы:)

Когда человек не различает смысла из-за перемены порядка слов, это означает только одно - он ни хрена не понимает предмета обсуждения.

Re: SHA1 взломан

> Одно другого не заменяет ну ни в коем разе. Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

почему? Я всегда считал что это нормальный способ получения криптохэша из шифрования -- как ключ берется или обычный хэш от текста или фиксированная всем известная случайная величина, или их смесь. Потом текст ей шифруется и берется обычный хэш нужного размера. Может не так эффективно, как специально разработанный криптохэш, но секурность должна быть нормальной..

dilmah (16.02.2005 19:50:36)

Re: SHA1 взломан

> Сие означает, что во входном множестве мощностью 2*80+1 гарантировано есть, как минимум, две последовательности, имеющие одинаковый хэш.

Не, не гарантировано. Гарантировано в 2^160+1. 2^80 взялось из уже упонимавшегося birthday attack..

dilmah (16.02.2005 19:54:17)