LINUX.ORG.RU
ФорумTalks

Почему SSL-шифр для Android был понижен с AES256-SHA на RC4-MD5 в конце 2010

 , ,


0

3

http://op-co.de/blog/posts/android_ssl_downgrade/

tl;dr: Android использует комбинацию полностью скомпрометированных RC4 и MD5 в качестве первого шифра по умолчанию для всех SSl-соединений. Практически все приложения подвержены этой проблеме, кроме тех, что не озаботились поменять список включенных шифров. В посте по ссылке предпринята попытка выяснить, почему устойчевые алгоритмы были заменены на скомпрометированные (MD5 в 2009) в декабре 2010 после выхода Android > 2.3


Шоб АНБ было проще ломать всё и вся, obvious

nutz ★★
()

возможно коммит, который изменил приоритет алгоритмов (понизил безопасность) — был внесён случайно!

например кошка могла залезть на незаблокированную клавиатуру ноутбука разработчика.. они любят это делать — ноутбук тёплый.

user_id_68054 ★★★★★
()

Из прочитанного по ссылке понял, что в выборе скомпрометированного протокола при иных возможностях виноват не сервер, а клиент.

spunky ★★
()

Сноуден, ты?

Ttt ☆☆☆☆☆
()

Перед тем как постить брикин ньюс с HN, надо на том же HN читать комментарии

vasily_pupkin ★★★★★
()

пишут же, что в целях совместимости с сайтами... хотя линк оч. интересный...

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от Deleted

РЦ4 ломается только в путь

Неверно, при правильном применении не ломается.

для мд5 сложность перебора низкая

Насколько низкая?

коллизии ищутся

И как это помогает?

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

На 6-ядерном феноме: 86.24M c/s
С ighashgpu на GTX485 - 1104M
Для 6990 не получается в блоге разработчика найти скорость перебора, но табличка где-то там была.
На 5970 скорость перебора - 5600М

Deleted
()
Последнее исправление: SMD (всего исправлений: 1)
Ответ на: комментарий от Deleted

РЦ4 ломается только в путь

Расшифруйте, пожалуйста (пароль довольно простой): 

U2FsdGVkX19u1KZ4kc+TWbttQ5Q83Ehl3YyM/timejJ5XmKGfzhp05P4hjosVUJe
cMqTh8NXwNDFslb1yrTWBL4P2z0sDedcvgsOEaLkd/CxXHr+hzPozWRfSD4VmAN2
LC3SPd0vd7fPpqj8pyH1cOiYHmFJGVFGL6Z2cEU3A+lCIbgnOEcnYP7bk7HjnEQA
zK5/FwPgS5F0FNHvnsqleZd80PTtxh3tO1VctesfMiNkMeug/Fbr/18fPTIvqdnD
LAc8W9uz3zrAYv5S0Uz4AWFR7fvoFP/rkbkM4NYiUcgWIv8=

мд5 сложность перебора низкая

«Низкая» — это понятие относительное и довольно растяжимое.

и коллизии ищутся

А у других не ищутся?

Мобильник, даже очень мощный и крутой, — это по-прежнему довольно тормозной и ограниченный в ресурсах девайс. Включи linphone + SRTP на одноядерном мобильнике и почувствуй тормоза ещё на этапе установления сессии.

shahid ★★★★★
()
Ответ на: комментарий от Deleted

Для 10 байтов это 2^80 ~= 1e24. Если у тебя скорость 100Gh/s = 1e11h/s, тебе надо подбирать один хеш 1e13 секунд или 317 лет, если я ничего не напутал.

Legioner ★★★★★
()
Ответ на: комментарий от Deleted

На 6-ядерном феноме: 86.24M c/s
С ighashgpu на GTX485 - 1104M
Для 6990 не получается в блоге разработчика найти скорость перебора, но табличка где-то там была.
На 5970 скорость перебора - 5600М


И какой вывод-то? SHA-1, SHA-256, SHA-512 не распараллеливаются, и такие скорости перебора для них недостижимы? Поставь несколько видях рядом, и модные SHA-512 начнут ломаться и на бОльших скоростях перебора.

Конечно, я согласен, что надо использовать scrypt на мобильнике с рекомендованными параметрами на потребление в 16 Мб RAM. Но во времена ведройда 2.3 и ранее даже 16 мб на встроенном флеше ценились, не говоря уже о RAM.

shahid ★★★★★
()
Ответ на: комментарий от crypt

Пруф с тебя, в виде атаки на ssl, использующий md5 и rc4. А то полинтернета его использует и не подозревает, что уже поломали все оказывается.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)

Иди ещё почитай про GSM кодирование.

Umberto ★☆
()
Ответ на: комментарий от Legioner

используют, потому что пол-интернета такие же, как ты)

вот, почитай вики http://en.wikipedia.org/wiki/Transport_Layer_Security

см. табличку там, где rc4 помечен красным.

и в целом: http://www.theregister.co.uk/2013/09/06/nsa_cryptobreaking_bullrun_analysis/?...

crypt ★★★★★
()
Ответ на: комментарий от crypt

In spite of existing attacks on RC4 that break it, the cipher suites based on RC4 in SSL and TLS were considered secure because of how the cipher was used in these protocols. In 2011 RC4 suite was actually recommended as a work around for the BEAST attack.

Несколько месяцев назад да, новую атаку придумали, это я пропустил, но, как понимаю, она чисто теоретическая.

http://www.theregister.co.uk/2013/09/06/nsa_cryptobreaking_bullrun_analysis/...

Желтизна.

Legioner ★★★★★
()
Ответ на: комментарий от shahid

а сейчас разве не в моде вычислять хеш-сумму по 100500 раз, чтоб обломать переборщиков ?

n_play
()
Ответ на: комментарий от kwinto

ага, значит ничего не пропустил, буду дальше юзать мд5

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks