Уже показательно, но времени на выкид ещё хоть ешь.

А где ещё SHA-1 является частью архитектуры (как, например, в git)?

и правда

как страшно жыть :)

Вот поэтому нужно одновременно использовать несколько алгоритмов . Как например сделано в репозиториях убунту.

6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

Капец. В руках спецслужб этих CPU с GPU столько, что поломают на раз-два. Мы все под колпаком.

Колпак-то тут каким боком.

Мы все под колпаком.

А вот и параноики приехали.

Шо, опять?

А на 110 теслах за год выйдет?

А вроде недавно они откуда-то выкинули ША-адын, не так давно новость была.

Мы все умрём?

Хакерам-одиночкам взлом SHA128 не под силу

Google все никак не удается заставить все сайты пользоваться HTTPS+SSL+SHA256?

Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

Google признал, что если вас взломают через ограниченность SHA128, то это могла бы сделать только либо госструктура либо мегакорпорация с большими вычислительными мощностями (ОК, Гугл...).

а теперь вспомни как биткоинына асиках майнят

SHA256

256

На колу мочало, начинай сначала.

нет, следующим идёт SHA224

110 лет одного gpu это например месяц одного асика. асиков будет 5000 например в ферме

и?

либо мегакорпорация с большими вычислительными мощностями

110 GPU, даже 1110 GPU - это не так и много, не надо быть даже мегакорпорацией, такие вещи доступны просто развитому бизнесу уровня повыше пары ларьков.

так файлы то одинаковые ,надо было разные сделать ,видимо не смогли всё же.

не понял предложение, но попытаюсь подправить: а теперь вспомни, как биткоины на асиках майнят.

Да, и что?

SHA-224 идентичен SHA-256, за исключением...

https://ru.wikipedia.org/wiki/SHA-2

Они разные.

асик как бы побыстрее. на пару порядков

Что это у вас там за ларьки такие?

они одинаковые ,надо было сделать что б они «конкретно» разные были ,видимо не смогли.

git не всё

Я проверил git (1.8.3.1) на этих двух файлах, коммитится, пушится и клонится правильно, ошибочек не пишет.

Чексумы теперь новые выкладывать нужно. А то я SHA1 в таком качестве чаще встречаю, чем в паролях.

Я сразу три считаю (md5, sha1, sha256) когда генерю релизы. И цифровую подпись ещё на файлики с контрольными суммами.

Ты дальтоник?

Ха. Md5 во все поля у некоторых

асик как бы побыстрее. на пару порядков

Что такое асик?

Хакерам-одиночкам взлом SHA128 не под силу

А ботнету с распределенными вычислениями под силу. Он может и с гуглом потягаться по вычислительной мощности.

Капец. В руках спецслужб этих CPU с GPU столько, что поломают на раз-два. Мы все под колпаком.

Какой то конкретный файл поломают, но что бы парсить весь шифрованный трафик наверное никаких мощностей не хватит тем более есть же более устойчивые алгоритмы. Вот есть sha256sum. А можно ли сделать какую нибудь sha4096sum что бы уж как можно надёжнее или даже больше взять длину?

Так это же коллизия полученная методом дней рождений (когда подбирают два файла сразу), не? А подобрать коллизию для фиксированных данных сложнее в квадрат.

https://ru.wikipedia.org/wiki/ASIC

Есть интегральные схемы специального назначения, считай хардварная программа. Они пошустрее будут и намного, чем ПК для решения того, подо что заточены.

Вот только надо тратить ресурсы собранного ботнета на разгадывание SHA-1? По мойму хуже применения распределённости придумать сложно.

А смотря зачем его ломаешь. Он не только сам по себе в вакууме для проверки целостности файлов использоваться может. Может кто-то защиту паролем на его основе запилил (много лентяев среди программистов). Т.е. соль в виде SHA-1 хеша как-то стащили, например, воспользовавшись уязвимостью, а сам пароль от которого хеш считается нужен для входа. Вот его то и восстановят через ботнет.

1000 GPU - это два-три мегабакса, если просто ферму из них собирать. Для ларьков дорого, для более крупного бизнеса уже в принципе доступно. Мегакорпорациями и не пахнет, а если учесть, что как тут правильно заметили, под такие вещи можно ASIC'и сделать, оно вообще возможно только в 200-300 килобаксов встанет.

гуглу проще тесты запустить на юзерских машинах, где установлен гуглохром...

А у бизнеса "сразу после ларьков" так просто есть свободных $ 300 000 кэшем, не говоря уж о 2 млн?! Или это по продаже людей и наркотиков бизнес доложно быть.

Значит, гуглу уже 110 лет?

Это значит, что у Гугла как минимум больше одного GPU.

Ну давай разведём дискуссию со сколько ларьков в сети найдутся свободные 300 кило или 2 мегабакса и в какой стране? Факт, что это совсем не что-то особенное.

И что теперь, git перейдёт на другой алгоритм хеширования?

Надо запустить криптовалюту с PoW на SHA-1, чтобы свободные ресурсы были заняты.

Ну давай разведём дискуссию со сколько ларьков в сети найдутся свободные 300 кило или 2 мегабакса и в какой стране?

Нет :( От ваших "ларьков" аппетит разыгрался, схожу лучше с Марицуми до шрайна круглосуточного.

так_у_вас_столько_чистой_воды_что_вы_в_неё_срёте.jpg

Опять зарешетировали что-то? Как грустно стало жить...

1000 GPU - это два-три мегабакса

AWS дает в аренду почасово серверы с мощными gpu, для одноразового взлома намного дешевле будет.

Позор мне, я даже забыл об этой возможности. Тогда, если это для одного раза денег уже совсем не так много понадобится, примерно 20-30 килобаксов.