Да и компания BitTorrent Inc вполне неплохо поживает.

Это ты хоть зачем приплел?

В 1993 году NSA совместно с NIST разработали алгоритм безопасного хеширования (сейчас известный как SHA-0) (опубликован в документе FIPS PUB 180) для стандарта безопасного хеширования. Однако вскоре NSA отозвало данную версию, сославшись на обнаруженную ими ошибку, которая так и не была раскрыта. И заменило его исправленной версией, опубликованной в 1995 году в документе FIPS PUB 180-1.

Возможно, бэкдор был заложен изначально (a SHA-0 изначально был слишком хорош).

https://ru.wikipedia.org/wiki/SHA-1

«У меня дома не ходят в грязных ботинках - либо сними их, либо уходи»

«Или вы меня нормально обслуживаете, или подавайте жалобную книгу»

«Или ты перестаёшь опаздывать, или я тебя увольняю»

Это всё не преступления, а нормальная практика. Если это считать шантажом, то у людей вообще не будет никакой возможности строить договорные отношения. Ибо всегда кто-то что-то не хочет сделать и надо его мотивировать так или иначе.

Бить морду - незаконно. Выкладывать чью-нибудь переписку в общий доступ против воли участников - незаконно. А вот выгонять посторонних людей из своего жилища (если это не сотрудники полиции с ордером) - законно. Писать плохие отзывы в жалобной книге - законно. Увольнять работника за нарушения договора - законно. Публиковать или нет ссылки на кого-то на своём личном сайте - законно. Ну разве что есть всякие заморочки насчёт расизма, сексизма и т. д. Но никаких законов про запрет дискриминации людей по предпочитаемому алгоритму хеширования - нет.

А Google точно такой же частный сайт и каких-то прямо особых обязательств не имеет.

Ну эта фирма является разработчиком протокола и софта, который МОЖЕТ БЫТЬ использован для нелегального файлообмена (более того, он очень активно используется именно с этой целью). Google собирается опубликовать софт, который МОЖЕТ БЫТЬ использован для взлома чьих-то паролей (если получилось украсть хеши и они в SHA-1). Однако сам по себе BitTorrent не начинает автоматически качать все пиратские материалы мира при запуске (пользователю надо найти подходящий трекер, а кому-то до этого ещё выложить туда нелегальный материал), точно также как и гугловский софт без напильника никого взломать не сможет (надо откуда-то раздобыть хеши паролей, подать их на вход утилите, правильно интерпретировать её выдачу). Таким образом ни Bittorrent Inc, ни Google ничего незаконного не совершают. Точно также как и производители кухонных ножей.

Данный тип уязвимости в принципе не позволяет что-то там взломать.

взломать документ содержащий «шаблон»(будь то картинка или неважно какой дублирующийся шаблон)

дублирующийся шаблон-это банковские платежи гд только сумма и номера плательщика разные, и статических данных там более чем достаточно

тоесть все банковские платежи могут быть перехвачены(и за год-два) и взломаны

естестченно реального применения нет ибо слишком медленно

Следующим шагом в таком мошенничестве будет суд и до-о-о-лгое разбирательство.

Это если договор читают живые люди и всё контролируют. А если речь идёт об автоматизированной системе, проводящей миллионы транзакций в день? Может подмену потом и заметят, но может быть уже поздно - деньги давно вывели на дропа, а организаторы растворились.

Или, например, пароли на сайте хранятся в SHA-1 и хеши как-то утекли. Соответственно, злоумышленник подбирает пароль юзера и делает какие-то действия от его имени. Опять же потом, вероятно, это всё заметят, но может быть уже поздно (например, компромат был украден и опубликован).

Да, для массовой атаки эта уязвимость плохо подходит. Но для целевой - отлично. А это тоже хороший повод сменить алгоритм хеширования. Многие софтовые уязвимости тоже подходят только для целевых атак (ибо требуется сочетание целого ряда факторов), но их же фиксят, а не говорят «ну это редко проявляется, не будем фиксить».

Pgp

В git все нормально с sha1. Единственная возможная проблема - это проверка repo integrity. Коллизии объектов разрешаются безопасно

http://www.gelato.unsw.edu.au/archives/git/0608/26490.html

Так вот зачем на телефонах с андроидом по 8 ядер, а гуглохром грузит проц!

Ответ Линуса Торвальдса: https://public-inbox.org/git/CA 55aFxJGDpJXqpcoPnwvzcn_fB-zaggj=w7P2At-TOt4bu...

I haven't seen the attack yet, but git doesn't actually just hash the data, it does prepend a type/length field to it.

они одинаковые ,надо было сделать что б они «конкретно» разные были ,видимо не смогли.

Они разные. Даже один изменённый байтик(фон шакпки) может в каком-либо договоре прибавить/убрать нолик стоимости контракта.

SHA-1 у нас любит использовать контур, так же есть в ЕГАИСовой джакарте (PKI-ключ). ОФД уже ГОСТ юзают. СБИС - не знаю.

переход можно было бы разбить на несколько фаз:

Или сделать по-человечески, импорт одной командой типа git clone --sha2 old-repository. Процесс перевода на новую хэш функцию полностью детерминистичен, сначала проход до листьев в дереве (т. е. файлов), потом пересодание всех зависимых узлов (каталогов и коммитов) с новыми хэшами и остальными данными нетронутыми. Из-за детерминированности, конвертация 2х репозиториев содержащих общие данные на 2х разных машинах приведёт к тому, что общие данные между новыми репозиториями перехэшируются одинаково. В принципе, настроив локальное отображение старых хэшей на новые, можно обеспечить синхронизацию между реками с обоими типами хэшей. Единственно, что всё подписанное (теги и коммиты) превратятся в неподписанное, но это неважно, так как подписаный коммит ссылается через sha1 на корень дерева, значит после компрометации sha1 никакой надёжности больше нет, можно подобрать модифицированное дерево с тем же корневом хэшем, так что удаление подписи только избавит от ложной уверенности

У любых хэшей и комбинаций из нескольких видов хэшей вероятность коллизии для данных, размер которых больше размера хэша (или комбинации хэшей) не равна нулю. Вся соль во времени, которое нужно затратить на поиск такой коллизии.

Так что цена взлома, хоть и не маленькая, но позволить его себе могут не единицы из списка Форбс, а десятки миллионов людей, просто если буду кушать годик немного поменьше.

Даже если таких людей 100 миллионов в мире, то это меньше 2% населения.

Тоесть Google заявил что на протяжении 90 дней втихую будет «парсить SHA-1 трафик»

facepalm.sh1

Или сделать по-человечески, импорт одной командой типа git clone --sha2 old-repository. Процесс перевода на новую хэш функцию полностью детерминистичен, сначала проход до листьев в дереве (т. е. файлов), потом пересодание всех зависимых узлов (каталогов и коммитов) с новыми хэшами и остальными данными нетронутыми. Из-за детерминированности, конвертация 2х репозиториев содержащих общие данные на 2х разных машинах приведёт к тому, что общие данные между новыми репозиториями перехэшируются одинаково. В принципе, настроив локальное отображение старых хэшей на новые, можно обеспечить синхронизацию между реками с обоими типами хэшей. Единственно, что всё подписанное (теги и коммиты) превратятся в неподписанное, но это неважно, так как подписаный коммит ссылается через sha1 на корень дерева, значит после компрометации sha1 никакой надёжности больше нет, можно подобрать модифицированное дерево с тем же корневом хэшем, так что удаление подписи только избавит от ложной уверенности

ну вообщем — тоже разумный вариант предлагаешь.. без этих моих сопливыз фаз, растянутых на года :-) ..

я такие радикальные варианты сразу не предлагал — так как заметил что сопливые переходные файзы — обычно нравятся потребителям :-) [и чем сопливее и длиннее переходная фаза — тем успешнее технология :)]..

Что это? Зачем?

Принципиально ГОСТ в данной ситуации ничем не лучше. Перебором можно любой «сломать».

это никакой не взлом, а демонстрация что могут существовать 2 файла с одинаково посчитаным sha-1,реально взломать видимо не смогли.
люди то они проверяют ещё и CRC-32/64 и sha-256.

Даже больше, это демонстрация, что могут быть два условно корректных файла пдф,с разным содержимым, но одинаковыми суммами. Условно-это потому, что я не уверен в том, что внутри PDF нет проверки целостности файла. У CRC вероятность коллизий в несколько раз выше, т.к. длина всего 32 бита против 128.

Тут alexsafonov выше оставил ссылку на ответ от Линуса по этому поводу. Смотреть на третий абзац в сообщении Линуса.

http://www.gelato.unsw.edu.au/archives/git/0608/26490.html

блочек

Поставил бы спеллчекер что ли. А то умничают и такие вдруг ошибки позорные.

нужно открывать перепись идиотов в этом треде.

Все не так однозначно..

Нам не сказали, какой фирмы и модификации CPU и GPU. Скорее всего брались AMD, поэтому такие страшное количество годов, а вот если взять Intel/Nvidia, то все будет еще хуже(меншье лет уйдет).

Перечитал статью в оригинале, четыре страницы комментариев, и так и не увидел реального юзкейса этого взлома.

Итак, если мне не изменяет знания моего английского, то я за 300 килобаксов зелени могу:

* Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге - неясно. Но ясно одно - хуита;

* Отослать Васяну письмо от имени соседского Вована, признаться ему в однополой любви и закрепить это цифровой подписью имени Вована;

* Скомпилировать ядро Линукса и подписать его (це) Майкрософт;

* С софтваре апдейтс честно говоря не совсем ясно. Вот я купил домой ферму асиков за стопицот лямов, и хочу чтобы соседский Васян когда будет обновлять Убунту с ua.ubuntu.com или шо там у этих домохозяйках нынче в sources.list прописано, вместо оригинального bash v.+1 скачал мой bash с мокрыми писечками. Что мне делать с моей фермой ?

* Могу запилить свой образ ОС с нескучными обоями и антивирусом Попова и выложить его к себе на сайт с котиками и посещаемостью два уника в месяц;

* С бэкап системс тоже ничего неясно. Вот у меня есть сервак, например он корпоративный. К нему по sshfs/cifs/nfs/ftp подмонтирован диск с соседнего NAS. Что сможет сделать злая мегакорпорация с моими бэкапами порнухи, имея 100500 GPU ?

* Могу отправить соседскому Васяну по электронке письмецо с вложением с такой же контрольной суммой как и файл ntoskrnl.exe и если Васян скачает какой-нить сс-клинер работающий по контрольной сумме, то у Вована слетит Винда, ололо.

- - -

В общем специалисты Гугол страдают херней.

Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге - неясно. Но ясно одно - хуита;

Man in the middle.

Я сразу три считаю (md5, sha1, sha256) когда генерю релизы.

Почему бы не использовать один и тот же три раза подряд?

«Уже показательно, но времени на выкид ещё хоть ешь.»

Это говорит о том, что хакеры-одиночки еще гуляют, а организации с серьезными выч. мощностями уже могут нагибать кого угодно.

Man in the middle.

Интересует реальный юзкейс, а не набор теоретических терминов.

ага разными ,настолько разными что им хватило ума только поменять цвет ,вот если бы они вместо кролика нарисовали волка ,тогда было бы более убедительно .А ещё лучше подделали бы предоставленый им случайный файл с заранне не известным содержимым.

Взлом SHA-1
два разных ...файла с ... одинаковым значением SHA-1

Я так понял - Ализар уже и на ЛОРе обосновался.

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU

о, нормально. мне как раз ближайшие 6500 лет заняться нечем - пойду что-нибудь поломаю

1000 GPU - это два-три мегабакса

Представил трёх megabaks, которые во время перебирания коллизии ругаются, что ты неправильно настроил генту.

Поставил бы спеллчекер что ли. А то умничают и такие вдруг ошибки позорные.

А зачем спеллчекер. Можно же просто ещё на лор автозамен добавить, и корректоров-надзирателей. Кавычки же меняете мои, типа неправильные.

Почему бы не использовать один и тот же три раза подряд?

А вот написано:

Однако стоит отметить, что в настоящее время нет способов найти столкновения для хэшей MD5 и SHA-1 одновременно, что означает, что чтобы быть в безопасности все еще можно использовать старые доказанные хэш-функции, которые к тому же ускоряются аппаратно.

Так что по идее лучше разные.

Это достаточно много.

это могла бы сделать только либо госструктура либо мегакорпорация с большими вычислительными мощностями

Или ваши конкуренты по бизнесу, которые тупо могут позволить себе арендовать пару тысяч gpu... Или кульхацкеры, которые запустят ботнет на миллионе кофемолок...

Подделать цифровой сертификат. Правда что потом с ним делать, и к чему это приведет в итоге - неясно. Но ясно одно - хуита;

sha-1-only сертификаты может быть и подделаешь. Но, их уже года три с лишком не выдают и комодчики их бесплатно меняли на новые с sha-2. А те, что есть будут в браузерах метиться как ненадёжные, даже будучи валидными.

Что мне делать с моей фермой ?

Квартиру отапливать.

Что сможет сделать злая мегакорпорация с моими бэкапами порнухи, имея 100500 GPU ?

Родинку на жопе пририсуют и волосы на лобках.

В общем специалисты Гугол страдают херней.

Специалисты гугла занимаются делом. Емнип лет пять назад уже были статьи что sha-1 пора закапывать. Три с лишним года назад был хайп по смене сертификатов с sha-1 на sha-2. Полгода-год назад пригрозили, что будут сайты с такими сертификатами макать в кал.
И тут уже окончательно клюнул петух в задницу. И очень странно, что для некоторых это такая неожиданность. Люди, я с вас удивляюсь.

Тебе и привели реальный юзкейс.
Хотя его можно реализовать намного проще и менее затратно.

Или кульхацкеры, которые запустят ботнет на миллионе кофемолок...

Ну битки пытались считать на миллионах автомобильных видеорегистраторов. Обломались — быстродействие ниже порогового.

До асиков вполне имело смысл, до сих пор имеет на тех алгоритмах, под которые асиков нет.

Это достаточно много.

Достаточно много для буржуев :-)

А вот если бы каждый пролетарий (на самом деле не каждый, а лишь в относительно развитых странах) мог бы на домашнем ПК или днище-смартфоне взломать. То было бы другое дело. Чесались бы гораздо сильнее.

Ну битки пытались считать на миллионах автомобильных видеорегистраторов. Обломались — быстродействие ниже порогового.

Если подойти серьёзно и по крупному, то незачем делать это на ЦП видео-регистратора. Надо всего лишь наладить выпуск аппаратных видео-кодеров с функцией расчёта хэша, документировать её в принципе не обязательно. А себестоимость чипов в крупных партиях всё равно не зависит от их сложности.

Так вроде хотели делать в конторке 21.co, и им даже инвестировали в это. Так-что вполне возможно, что такие устройства уже есть либо скоро будут.

И как это интересно связано? Тут задача не регулярно блоки находить, а получить одну коллизию.

Не кого угодно, чтобы один долбанный sha-1 ломануть, нужно полгода, и то, если повезёт.

как сейчас модно, продавать сервис по перебору за n-часов.

Это где такой банк?

Очевидно, что не в РФ.

Потребуется наверное много справок и объяснений как будет использоваться когда прибыль типа бизнес план.

Нет. Потребуется съездить в банк подписать бумаги. Если бизнес совсем уж ларёчный, надо будет дать достаточно убедительные устные объяснения представителю банка. А джентельменам, умеющим хотя бы завязать галстук, верят на слово.

Ну и какой смысл выкинуть столько денег вряд ли у кого то есть информация которая имеет такую стоимость.

Ну вот ты не знаешь, а кто-то знает, и уже, поди, закупает GPU вагонами. Торопись!

«парсить SHA-1 трафик»

Как это понимать?

первую коллизию хешей SHA-1.

И как теперь то жить будем, коллеги?

В тот момент, когда ты перешёл на личности ты выписал себе путёвку в забвение. Прощай, маня.