LINUX.ORG.RU

Взлом SHA-1

 sha-1,


4

5

Специалисты Google продемонстрировали первую коллизию хешей SHA-1. А именно, два разных PDF-файла с осмысленной картинкой и одинаковым значением SHA-1.

>>> Первый файл

>>> Второй файл

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

>>> Подробности

★★★★★

Проверено: anonymous_incognito ()
Последнее исправление: sudopacman (всего исправлений: 3)

Ответ на: комментарий от rezedent12

Даже если таких людей 100 миллионов в мире, то это меньше 2% населения.

Таких людей — 1 золотой миллиард.

anonymous
()
Ответ на: комментарий от Odalist

проверяйте gpg signature на файлах. sha всего лишь контрольная сумма для проверки целостности файла.

iluha16
()
Ответ на: комментарий от Odalist

Как и в старые добрые времена при СССР 50-х годов

atsym ★★★★★
()
Ответ на: комментарий от kalterfive

Ну так вроде же очевидно. Вероятность одновременных коллизий контрольных сумм полученных по разным алгоритмам ниже. Коллизии контрольных сумм полученных по однгму только алгоритму.

rumgot ★★★★★
()
Последнее исправление: rumgot (всего исправлений: 1)
Ответ на: комментарий от segfault

И это при том что о небезопасности сего алгоритма шумели уже более года назад.

Год назад? Лет 10 ты хотел сказать. Поэтому ожидалось, что и sha256 скоро падёт, объявили конкурс на его замену. Из многих десятков в результате нескольких раундов выбрали один. Но sha2 так и не пал. Поэтому sha3 появился не как замена, а как параллельное решение, построенное на принципах, отличных от sha1 и sha2.

anonymous
()
Ответ на: комментарий от Aceler

Хранишь пароли в SHA-1? Храни дальше.

sha1 для паролей никогда не задумывался. Если используешь его не по назначению, это твои проблемы.

anonymous
()
Ответ на: комментарий от Siado

Вроде в биткойне еще

В Bitcoin используется вместе: sha256d (это sha256 от sha256 - для предотвращения length extension attack) от NSA и RIPEMD160 от европейского научного сообщества.

anonymous
()
Ответ на: комментарий от KivApple

Или, например, пароли на сайте хранятся в SHA-1 и хеши как-то утекли

Ну и нафига злоумышленнику, который уже получил полный доступ к серверу, слил дамп пользователей и их паролей - искать коллизии?

anonymous
()
Ответ на: комментарий от rezedent12

Если подойти серьёзно и по крупному, то незачем делать это на ЦП видео-регистратора.

Найди тех придурков, которые заражали видеорегистраторы и считали там битки и скажи им это. Я-то это итак знаю.

imul ★★★★★
()
Ответ на: комментарий от anonymous

Алгоритмы, под которые нет асиков и на видеорегистраторах считаются хреново. Настолько хреново, что шансов никаких.

imul ★★★★★
()

Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU"'

бред - уберите нахер

anonymous
()
Ответ на: комментарий от imul

Я серьёзно думаю, что «награда» за найденную коллизию в sha-1 в отдельно взятом случае может быть существенно больше, чем за нахождение блока.

atrus ★★★★★
()

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

А я надеялся на sha1fs. А то уж больно долго pifs работает.

NextGenenration ★★
()
Ответ на: комментарий от anonymous

Затем, что он мог получить доступ только read-only. А чтобы что-то реально сделать надо ещё залогинится на сайте от имени пользователя. А для этого нужно узнать пароль из хеша, потому что система принимает только пароли, но не хеши. Плюс может так получиться, что базу с паролями слить получилось, а самое интересное - нет. И опять же нужно логинится штатным методом.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)

Странные зверушки, которые называют SHA-1 SHA-128 и рассказывающие про 128 бит — самовыпилитесь, SHA-1 имеет 160 бит. И про относительную дешевизну атаками на SHA-1 Шнайер, кажется, пишет года с 2005.

SHA-2 — это всякие SHA-256, SHA-512, SHA-224 и SHA-384, а также SHA-512/256 и SHA-512/224.

grossws
()
Ответ на: комментарий от Deleted

В git все нормально с sha1. Единственная возможная проблема - это проверка repo integrity. Коллизии объектов разрешаются безопасно

Насколько я понял, новый объект просто не попадает в репозиторий, вместо него используется существующий. По моим понятиям это совсем не нормально...

anonymous
()
Ответ на: комментарий от rezedent12

А себестоимость чипов в крупных партиях всё равно не зависит от их сложности.

Т.е. процент брака и стоимость микросхемы какого-нибудь ком порта и POWER8 одинаковы?

anonymous
()
Ответ на: комментарий от anonymous

Такой сервис через неделю «закроют» вместе с его клиентами, а создателей «закопают».

anonymous
()
Ответ на: комментарий от Odalist

И как теперь то жить будем, коллеги?

Как и раньше. Дистростроители сами все исправят.

anonymous
()
Ответ на: комментарий от anonymous

Ну и нафига злоумышленнику, который уже получил полный доступ к серверу, слил дамп пользователей и их паролей - искать коллизии?

Более того, для поиска коллизий ему потребуется знать и сами пароли (коллизии - это дубли к ним).

anonymous
()
Ответ на: комментарий от anonymous

ему потребуется знать и сами пароли (коллизии - это дубли к ним).

добавлен к списку идиотов этого треда

anonymous
()
Ответ на: комментарий от anonymous

Т.е. процент брака и стоимость микросхемы какого-нибудь ком порта и POWER8 одинаковы?

При одинаковом техпроцессе площадь транзисторов контроллера com-порта меньше площади транзисторов центрального процессора сложной архитектуры. Вероятность брака зависит от используемой площади кристалла и сложности технического процесса. Но при достаточно отработанной технологии, основной причиной брака являются пылинки, которые с некоторой вероятностью присутствуют даже в самом чистом воздухе и оседают на кристаллы. У центральных процессоров очень высокий процент брака, но отключением дефектных модулей (ядер и блоков кэша) их просто переводят в более дешёвый сегмент.

Если на кристалле есть свободная площадь и её можно занять секретным функционалом, то процент брака не повысится, если не тестировать у каждого экземпляра работоспособность секретных функций.

rezedent12 ☆☆☆
()
Ответ на: комментарий от Aceler

///Хранишь пароли в SHA-1?

И? «Уязвимость» не позволяет узнать содержимое хешированного файла.

///Раздаёшь образы с хешем SHA-1?

Опять же, подменить файл, особенно исполняемый, чтобы его хеш совпал с исходным, очень нетривиальная задача, возможно, что и не выполнимая в принципе. Опять же, если имеешь доступ к файлам чужого кода, подменить так же файлы со всеми хеш-, md5- и пр. суммами много проще.

mister_VA ★★
()
Ответ на: комментарий от mister_VA

И? «Уязвимость» не позволяет узнать содержимое хешированного файла.

По хешу невозможно узнать содержание хешированного файла, согласно определнию хеширования :-)

Но можно создать пароль под хеш. И данная методика позволяет это сделать существенно быстрее, чем брутфорс.

Опять же, подменить файл, особенно исполняемый, чтобы его хеш совпал с исходным, очень нетривиальная задача, возможно, что и не выполнимая в принципе

По ссылке не ходил? Да, она более сложная, чем генерация двух файлов, но не «невыполнимая в принципе».

Опять же, если имеешь доступ к файлам чужого кода, подменить так же файлы со всеми хеш-, md5- и пр. суммами много проще.

Я раздаю образы дебиана со своего хоста. Хеш-сумма совпадает с официальными с сайта дебиана, содержимое моё со встренным трояном и мусором в конце для подгона под хеш. Вуа, как говорится, ля.

Aceler ★★★★★
()
Ответ на: комментарий от peregrine

Обычно, вскоре после этого знаменательного события вода в трубе заканчивается напрочь, и начинается треш и угар.

Если меня вовремя не остановить, после этого введения я обычно рассказываю историю о Колонии Клавдия и Алтаря Агриппинцев и немытых германцах, которые полторы тыщи лет не могли вызвать сантехника, от чего становились все высокодуховнее.

AlexM ★★★★★
()
Ответ на: комментарий от AlexM

Погодите-погодите, Рим же в своих колониях всё по уму строил, и канализация и водоснабжение были по стандарту. Как так?

slapin ★★★★★
()

Специалисты Google продемонстрировали первую коллизию хешей SHA-1. А именно, два разных PDF-файла с осмысленной картинкой и одинаковым значением SHA-1.

Всего-лишь фон поменяли, а надписи всё те же. Тоже мне - «разные файлы»:) Вот если бы при одинаковом хэше в одном была реклама гугла, а в другом слова из 3 и 5 букв на всю страницу - ыот тогда была бы новость а не иллюстрация очевидной возможности.

Napilnik ★★★★★
()

У SHA-1 длина всего-то 160 бит, то есть теоретическое время нахождения коллизии только 2^80 вычислений SHA-1. А тут они потратили 2^63. То есть лишь в 100 тыс. быстрее по сравнению с идеальной хеш-функцией. Слишком малый запас был изначально.

trycatch ★★★
()
Ответ на: комментарий от Aceler

Но можно создать пароль под хеш. И данная методика позволяет это сделать существенно быстрее, чем брутфорс.

Нет, нельзя. Обсуждаемая атака никаким образом не делает нахождение прообраза быстрее.

Хеш-сумма совпадает с официальными с сайта дебиана, содержимое моё со встренным трояном и мусором в конце для подгона под хеш. Вуа, как говорится, ля.

Нет, это сделать нельзя. Это атака называется нахождением второго прообраза (second-preimage attack). Даже MD5 против нее устойчиво. Обсуждаемая атака - это нахождение коллизии с выбранным префиксом, то есть атакующий создает оба файла с одинаковым хешом. Он не может найти произвольный файл в интернете и создать для него другой файл с таким же хешом.

trycatch ★★★
()
Ответ на: комментарий от Napilnik

Легко могли быть надписи разные, если выполнить их в цветах фона. В одном файле одни надписи сливаются с фоном, в другом другие.

unC0Rr ★★★★★
()

Атака потребовала более 9 × 10¹⁸ вычислений SHA-1. Это эквивалентно 6500 годам вычислений на одном CPU, или 110 годам на одном GPU.

Не ИЛИ. И. 6500 лет CPU И 110 лет на GPU. Первые стадии выполняется на CPU, последняя на GPU.

trycatch ★★★
()
Ответ на: комментарий от Aceler

///Но можно создать пароль под хеш. И данная методика позволяет это сделать существенно быстрее, чем брутфорс.

Из каких утверждений в первоисточнике сие следует?!

///По ссылке не ходил?

Ходил. Там «подменили» лишь цвет фона в pdf-файле. Замены пусть будет 10% содержимого текстового файла там нет.

///Я раздаю образы дебиана со своего хоста. Хеш-сумма совпадает с официальными с сайта дебиана, содержимое моё со встренным трояном и мусором в конце для подгона под хеш. Вуа, как говорится, ля.

Вот принципиальная возможность такого пока под вопросом. Ещё нет сведений, как именно создаются файлы с одинаковым хешем и для каких типов файлов эта задача может быть в принципе решена.

mister_VA ★★
()
Ответ на: комментарий от mister_VA

задача может быть в принципе решена.

впрочем на равне с какбы любой имеющейся было бы желание

dima1981
()
Последнее исправление: dima1981 (всего исправлений: 1)
Ответ на: комментарий от slapin

вот и я того же мнения, как было 40% так и остаются хд

dima1981
()
Ответ на: комментарий от mister_VA

Ходил. Там «подменили» лишь цвет фона в pdf-файле. Замены пусть будет 10% содержимого текстового файла там нет.

Там предлагают подсунуть любые два jpg файла и получить на выходе два одинаковых PDF.

Да, атака типа meet in the middle куда проще, чем подбор под уже имеющийся хеш, но всё равно надёжность SHA-1 уже куда ниже, чем принято считать.

Aceler ★★★★★
()

Поздравляю всех причастных! (добавьте данный комментарий в текст новости)

Энтузиасты воссоздали метод проведения атаки «SHAttered» спустя несколько дней, не дожидаясь публикации метода компанией Google через чуть менее чем 90 дней

Python-скрипт — https://github.com/nneonneo/sha1collider/

Онлайн-сервис — https://alf.nu/SHA1

Также обнаружена коллизия SHA1 через ascii-арт.

https://joeyh.name/blog/entry/SHA1_collision_via_ASCII_art/

P.S.: и почему мне кажется что все эти энтузиасты связаны с Google?!

P.P.S.: Google решил не марать свои руки публикацией рецепта приготовления взрывчатки рабочего прототипа для проведения данного типа атак. Хитро...

atsym ★★★★★
()
Ответ на: комментарий от vblats
  • Ты госструтура, и тебе хочется следить за тем, что твои граждане делают в зарубежном Интернете, да так, чтобы они об этом не знали.
  • Ты Интернет-провайдер, и тебе хочется внедрять свою рекламу в веб-странички, либо заменять чужую рекламу на свою. Было время очень давно, когда некоторые так делали с нешифрованными страничками.
  • Ты у мамы хакирь с большим ботнетом. Ты подделал сертификаты соцсетей, подобрал пароль к роутеру в местном маке, и теперь у тебя есть пароли всех твоих одноклассников.
Deleted
()
Ответ на: комментарий от letni

Для криптографической хэш-функции нахождение коллизии за реалистичное время - это и есть взлом.

Deleted
()
Ответ на: комментарий от Deleted

Никакого взлома нет, хэш-функция работает как и положено. Обычный брутфорус.

Взлом бы был, если бы они нашли коллизию за меньшее число действий, чем ожидается. А тут все в пределах вероятности.

letni
()
Ответ на: комментарий от anonymous

Год назад? Лет 10 ты хотел сказать. Поэтому ожидалось, что и sha256 скоро падёт, объявили конкурс на его замену.

Придумали новый - еще не значит что признали старый небезопасным. А небезопасным объявили его около года назад.

segfault ★★★★★
()

Пока вы все тут спорили, я занимался делом.

$ diff shattered-1.pdf shattered-2.pdf 
Двоичные файлы shattered-1.pdf и shattered-2.pdf различаются

$ sha1sum shattered-1.pdf 
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
$ sha1sum shattered-2.pdf 
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf

И в самом деле

tnemo
()

Не знаю, по-моему, шумиха вокруг этого обнаружения искусственно раздута.

И раньше уже было известно, что алгоритм хеширования не настолько надежен как того требуют реалии дня сегодняшнего.

Но то, что показано в PoC, это скорее несколько интересных хаков, а не полноценная коллизия.

Twissel ★★★★★
()
Ответ на: комментарий от Twissel

я уже высказал свое предположение что этот «взлом» связан непосредственно с желанием Google пересадить всё и всех на SHA-2.

Взлом SHA-1 (комментарий)

Есть подозрение что в Google уже нашли и способ взлома и SHA-2, но об этом они пока умалкивают... ;-p

atsym ★★★★★
()
Последнее исправление: atsym (всего исправлений: 1)
Ответ на: комментарий от letni

Взлом бы был, если бы они нашли коллизию за меньшее число действий, чем ожидается.

Они нашли, читай статью: https://shattered.io/static/shattered.pdf

На основе статьи запилено это: https://alf.nu/SHA1 - ты загружаешь две произвольные картинки, а он генерирует из них два PDF с одинаковым SHA1

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.