Взлом SHA-1

Квантовые компьютеры уничтожат ненужное полностью.

Квантовые компьютеры сейчас как компьютеры в 60-е. И то они вроде как не не по настоящему квантовые, но я тут не разбираюсь совсем.

И что теперь, git перейдёт на другой алгоритм хеширования?

было бы не плохо .. и главное — это вполне вполне реалистично..

переход можно было бы разбить на несколько фаз:

фаза 1. выщитывать одновременно и sha1 и sha256 (для всех новых объектов).. и позволять пользователю в UI оперировать с любым из этих хэшей..

фаза 2. для новых объектов выщитывать только sha256, но пользователю в UI позволять оперировать (как и раньше) также и с sha1 и с sha256..

фаза 3. при использовании операций в которых в конечном итоге где-то происходит задействование sha1 — в UI предупреждать об этом КРАСНЫМ КАПСЛОКОМ (цвет если tty) — и спрашивать [y/N] подтверждения у пользователя продолжить ли операцию..

фаза 4. в целом уже норм — можно остановиться на фазе 3.. полное выпиливание sha1 не требуется (если всё равно спрашиватеся подтверждение — значит злоумышленник не сделает что-то скрытно)

Атака потребовала более 9 * 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

Атака доступна богатею с супер-компьютером, но не доступна большинству людей.

Это дорого, но не запредельно.

Ну, это ты загнул и одновременно сравнил слона с носорогом. И да, всякие кrовавые импеrии типа M$ и гугла уже используют квантовые компьютеры у себя.

на multihash лучшим вариантом был бы переход.

Вроде бы этот шкаф? http://3.bp.blogspot.com/-pWcY3q6Wy80/Vmgmh4UoN1I/AAAAAAAAltQ/Wm_C0Rvh6I4/s16...

на multihash лучшим вариантом был бы переход.

ды неужели? а выглядет как хипстерская херата

Подробности
https://shattered.it/

Error: Server Error The server encountered a temporary error and could not complete your request.

Please try again in 30 seconds.

У меня открылось через 30 секунд. Хы-хы.

зато отвязывает от конкретной хэшфункции и вопрос о переходе уже не стоит.

а выглядет как хипстерская херата

тут интересней узнать, почему разработчики Git были настолько непредусмотрительными, что хипстерам пришлось за них думать в 2014.

Да ты шутишь. Объемы в тысячи цпу или сотни гпу доступны практически всем. Прямо сейчас у меня под рукой около тысячи цпу и под сотню гпу. А если нагрузить что то вроде проекта s@ti то загрузка задания будет занимать больше времени, чем ее решение...

Когда пальцем указывают на небо, дурак смотрит на палец.

А если ларёк с героином?

Чексумы теперь новые выкладывать нужно

Зойчем? Смысл чексуммы в проверке целостности, а для нее и md5 за глаза хватит.

Разработка ASIC - дорогое удовольствие, даже если оно на FPGA будет работать

Не знаю, но уже есть коммерческие компании, производящие КК.

зато отвязывает от конкретной хэшфункции и вопрос о переходе уже не стоит.

разработчикам Git — достаточно лишь один раз решиться на переход Sha1->Sha256

а к следущиму разу (Sha256->Sha3 ?) — будут всё уже по-проторённой-дорожке отработано.. полезный опыт даст возможность следущий переход сделать даже более правильно чем это было Sha1->Sha256 ..

хипстерам пришлось за них думать в 2014.

просто способ какой-то странный придумали — каждый раз тратить лишние 2~4 символа на то чтобы указывать название алгоритма хеширования.. не практично, учитывая что алгиритм-то будет всё время один и тотже (не щитая смену эпох).

вся суть в sha1-идентификаторах как раз в том что ты просто печатаешь его (первые 5~7 символов) не делая ни каких лишний уточнений..

в случае с sha256/sha1 — это было бы также удобно. поочерёдная проверка — сначала sha256-обеъктов, потом sha1-объектов — думаю не сильно скажется на производительности

Зачем переходить, и так всё работает. Прикостылили наверное.

Я не стал ждать. А сейчас работает сразу.

я только одного не понимаю

9 × 10¹⁸ вычислений SHA-1

это же 90 вычислений sha-1. Почему для этого требуется

6500

лет ?

Когда на небо указывают в помещении — я вижу потолок.

Ага, в оригинале написано

This attack required over 9,223,372,036,854,775,808 SHA1 computations

Сложнее, да. Просто заголовок у новости несколько желтоват. Это ещё не ужас-ужас-ужас, но уже серьёзный звоночек. Браузеры, например, уже превентивно выкинули поддержку SHA-1 в сертификатах.

погугли про narus9000. это древние системы уже

это же 90 вычислений sha-1. Почему для этого требуется

Может у вас шрифт такой, что в нем нет глифов для степеней? Вот даже в процитированном фрагменте, там 10^18

9 × 10¹⁸ = 90

Ты в каком классе школу бросил?

Мы все под колпаком.

Во-первых, ты или я вряд ли интересую спецслужбы.

Во-вторых, отслеживая мобильник можно сотворить гораздо больше.

В-третьих, судя по результатам, на осуществление атаки нужно довольно много ресурсов.

Ну и, в-четвертых, лично мне уже давным давно стало понятно, что лучший способ противодействия сбору информации - дезинформация. Создай о себе в 10 раз больше ложных данных и любители сбора информации с помощью машинного анализа и других методик предпочтут тебя игнорировать, потому что на тебя ресурсов будет тратиться слишком много (нерентабельно это будет). К тому же, тебе не нежно бежать быстрее медведя - достаточно лишь быстрее другого парня.

И, в-пятых, скулить по этому поводу бесполезно - если технология перспективная, ей все равно кто-нибудь будет заниматься, поэтому нужно разрабатывать как методы нападения, так и защиты.

В-шестых, если тобой кто-то всерьез заинтересовался - тебя найдут, это вопрос времени и денег.

так файлы то одинаковые

У меня цвета различаются.

Что такое асик?

ASIC, специализированная под конкретную задачу микросхема

https://en.wikipedia.org/wiki/Application-specific_integrated_circuit

Кстати, для майнинга биткоинов делали ASIC, которые считают какой-то хеш и, скорее всего, на нем можно считать не единственный тип хеша. Так что очень может быть, что ASIC для биткоина посчитает SHA1 сильно быстрее, чем тесла...

гуглу проще тесты запустить на юзерских машинах, где установлен гуглохром...

Гудящий на всю мощь вентилятор на CPU заметит каждый второй пользователь хрома, поэтому такой вариант не идеален...

Вот есть sha256sum. А можно ли сделать какую нибудь sha4096sum что бы уж как можно надёжнее или даже больше взять длину?

Ты из тех, кто искренне не понимает, почему нужен IPv6, если в IPv4 можно через точку ещё пару циферок дописать?

Бизнесу даже уровня пары ларьков практически любой банк откроет кредитную линию 500000$ за несколько рабочих дней, были ба счетах деньги и стабильный приход в течение пары месяцев—полугода.

Ну или просто сконвертировать репозиторий, добавив всем объектам без sha100500 новый хэш и по умолчанию запретить пользоваться sha1. Мамкины кодеры и прочие приматы побуянят, да и успокоятся. А у тех, кто всё правильно сделал сразу™ как работало, так и будет работать.

Да понял я, ларьки это тема. Тут у многих наверное есть ларьки.

А где ещё SHA-1 является частью архитектуры (как, например, в git)?

В гите не нужна криптографическая стойкость. Там хеш только для генерации идентификаторов. А вот всякие криптоподелки, куда SHA-1 было прибито шурупами, потерпают, да...

И это при том что о небезопасности сего алгоритма шумели уже более года назад.

Херня пример. Цвет поменялся - пофиг, смысл у картинок остался тот же. Пусть текст покажут.

А что плохого от перехода сайтов на более стойкие алгоритмы шифрования? Даже если опасность преувеличена, хуже от этого не станет.

Гуманитарии подъехали, смотрю :D

А вот и мамкины спецы по ИБ подъехали. Ну что же, раздевайся, ложись.

Аргументацию неуловимого Джо я просто проигнорирую, хотя её одной достаточно, чтобы выставить тебя босого на мороз.

Отслеживане мобильника никаким боком к SHA-1. Угрозы совершенно разные.

Довольно много ресурсов, как видишь, есть даже у коммерческих компаний. И то, что сегодня стоит рубль, завтра будет стоить десять копеек в кредит, а послезавтра будет в любом мобильнике. При этом иной банк поди считает, что MD5 норм.

На счёт дезинформации спешу расстроить. Твоя скудная фантазия будет рожать бледные копии себя самой, и отличить этот шум от сигнала будет проще простого. Люди годами в спецшколах такому скиллу обучаются и всё равно прокалываются на мелочах. А от машины, как ты знаешь, ничего не утаишь. У неё долгая память, много терпения и она не устаёт.

Я бы с нескрываемым удовольствием посмотрел на твои «методы нападения» на Bumblehive в Юте.

А вот на счёт шестого пункта ты, как ни странно, прав. Несоразмерность в возможностях такая, что лучше секретов не иметь вовсе. Здоровее будешь.

Да, посмотрел новость с другого устройства и вижу разницу. Видимо, я столкнулся с какой-то тяжелой формой ШГ

Да не говори, еще и свои фамилии заранее вписали, как будто знали что у них хэши сойдутся.

погугли про narus9000. это древние системы уже

Your search - narus9000 - did not match any documents.

Suggestions:

Make sure that all words are spelled correctly.
Try different keywords.
Try more general keywords.

Как они изготавливаются? Какова стоимость необходимого оборудования и вообще стоимость производства?

Бизнесу даже уровня пары ларьков практически любой банк откроет кредитную линию 500000$ за несколько рабочих дней, были ба счетах деньги и стабильный приход в течение пары месяцев—полугода.

Это где такой банк? Потребуется наверное много справок и объяснений как будет использоваться когда прибыль типа бизнес план. Ну и какой смысл выкинуть столько денег вряд ли у кого то есть информация которая имеет такую стоимость. Вот спецслужбы вполне могут этих ASICов наштамповать.

Интересно, а во сколько в среднем больше потребовалось бы вычислительного времени если атаковать нужно тоже самое, но с дополненной проверкой по sha256?

Я сразу три считаю (md5, sha1, sha256) когда генерю релизы

Для проверки целостности доставленного релиза достаточно одной чексуммы.

И цифровую подпись ещё на файлики с контрольными суммами.

Это тоже лишнее. Достаточно подписать только сам релиз.

И зачем же это нужно?

Однозначный победитель контеста этого треда по написанию самого бестолкового комментария.