LINUX.ORG.RU

Подделаны SSL сертификаты

 , , ,


0

0

При помощи кластера из 200 PlayStation 3, были получены поддельные сертификаты, имеющие корректную подпись центра сертификации. Для подделки использован метод поиска коллизий в MD5 хешах. Уязвимыми оказались все сертификаты, удостоверенные центром сертификации через цифровую подпись MD5.

Первой отреагировала VeriSign, заявив о прекращении использования MD5 при подписывании сертификатов.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: CYB3R (всего исправлений: 2)

Ответ на: комментарий от AlannY

Еще с десяток лет назад, если не ошибаюсь - в Австралии, был запущен проект направленный на собирание MD5-хэшей в реляционные базы порядка сотен терабайт. Во всяком случае словарная атака на MD5 там занимала несколько миллисекунд. Соответственно - вместо того чтобы в авральном порядке подбирать хэш - можно завести кластерюгу который последовательно генерит хэши для всего подряд и складывает в базу. А потом по готовому MD5 можно выбирать из этой базы всё подходящее :)

Kardinal
()
Ответ на: комментарий от Kardinal

>А потом по готовому MD5 можно выбирать из этой базы всё подходящее :)

Если добавить к хешу salt то этот метод не страшен.

feanor ★★★
()

> При помощи кластера из 200 PlayStation 3

интересно, сколько бы GeForce'ов понадобилось (GTX 280 и лучше)

anonymous
()
Ответ на: комментарий от Kardinal

> проект направленный на собирание MD5-хэшей в реляционные базы

ты про Rainbow tables? да не, там не реляционные базы, обычные файлы по паре гигов. (правда, это может для сайта, вебоболочки реляционные БД прикрутили). Долго генерится, но зато потом быстро коллизии находятся. С salt правда чуть сложнее, но тоже можно: угадать salt, который используется в пароле, и по рассчитанным для него таблицам найти коллизии.

anonymous
()
Ответ на: комментарий от feanor

Во-первых, ломалка для GPU проверяет с несколькими видами salt'а и быстро, тупым подбором. Во-вторых, можно нагенерить rainbow tables.

anonymous
()

>RapidSSL’s serial numbers were all sequential

гыгыгы. Что мешало их засолить?

anonymous
()

аааа... это же охренеть как здорово! можно мне одолжить у них кластер ненадолго, чтобы сгенерить сертификаты для подписи приложений для S60 и PSP? я так долго этого ждал..

pronvit
()

у меня есть несколько Денди восьмибитных. А соберу-ка я из них кластер...

mint
()

Что-то они долго, я уже давно на кластере из 300 моих ZX Spectrum получил поддельные сертификаты с подписями как MD5 так и SHA1 512 бит. фе, ламье :(

anonymous
()
Ответ на: комментарий от true

> А по-моему, позор VeriSign за то, что они до сих пор использовали сто лет назад поломанный MD5.

Сынок, VeriSign занимается серьёзным бизнесом по серьёзным расценкам и вполне себе оперативно реагирует даже на proof-of-concept взлома используемых алгоритмов. Там нет красноглазиков, что выпучив очи горе бегут патчить ядра при сдвиге сервира на 1 см. в сторону.

Gharik
()
Ответ на: комментарий от phasma

> у Т-платформ есть решения на Cell BE

Скока стоит?

Gharik
()
Ответ на: комментарий от anonymous

4096 не мешьше, 512 ломается любым кластером из 100 робот-игрушек для детей, за пару месяцев, у нас в 2018году. anonymous (*) (01.01.2009 19:46:38)

Толстый анонимный трольь? Почитай хоть пару книжек по теме...

anonymous
()
Ответ на: комментарий от anonymous

> ты про Rainbow tables? да не, там не реляционные базы, обычные файлы по паре гигов.

Гхм, в том о чем я говорю - на тот момент около 120 терабайт было...

Kardinal
()
Ответ на: комментарий от anonymous

Слушайте, даю идею сжатия данных:

Берется md5-хеш и передается по инету. На другом конце подбираются варианты данных под этот хеш. В результате имеем супер степень сжатия, правда за счет огромного времени распаковки.

Ну остаются разные там мелочи типа нескольких вариантов исходного файла... но это фигня :))

Magister2k7
()
Ответ на: комментарий от Gharik

> Сынок, VeriSign занимается серьёзным бизнесом по серьёзным расценкам и вполне себе оперативно реагирует даже на proof-of-concept взлома используемых алгоритмов.

Отлично. Но MD5-то почему используют? :)

anonymous
()
Ответ на: комментарий от anonymous

> Отлично. Но MD5-то почему используют? :)

Да, PGP-шники вон в 2004 году отказались, а их в несерьёзности заподозрить труднее, чем кого-либо.

anonymous
()
Ответ на: комментарий от anonymous

> Не получится. Коллизии != инвертирование.

Та знаю, пофантазировать уже нельзя :))

Magister2k7
()
Ответ на: комментарий от anonymous

> Да, PGP-шники вон в 2004 году отказались, а их в несерьёзности заподозрить труднее, чем кого-либо.

В вендовом PGP сто лет назад нашли пачку бэкдоров, а потом нашли ещё и ещё.

Gharik
()

На что только не идут, лишь бы не покупать паяльник.

anonymous
()
Ответ на: комментарий от r

> Никакие это не хакреы, а серьезные ученые > Ph.D J.Johnson из принстона имеет погонялу @nn1h1l@t0r, а остальные ресерчерс - это его сосед и старый руммейт университетский.

PhD из Принтстона -- это уже серьёзный учёный обычно, вне зависимости от.

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

>> Это хорошо, теперь есть хороший повод пользоваться ГОСТовским алгоритмом.

> В котором наверняка есть backdoor, оставленный старшим братом для того, чтобы было всё под контролем

Анонимный брат, они есть и в AES, и в DES, и в SHA*.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

пока не доказано. и самый вероятный вариант тут именно ГОСТ, вторым идет ДЕС.
ЗЫ. предпочитаю Blowfish.

val-amart ★★★★★
()
Ответ на: комментарий от tailgunner

>> В котором наверняка есть backdoor, оставленный старшим братом для того, чтобы было всё под контролем

> Анонимный брат, они есть и в AES, и в DES, и в SHA*.

Брат, tailgunner. Запихать бекдор в открытый алгоритм - это только инопланетный разум может. А вот пихать бекдоры в закрытые реализации систем шифрования - это чуть ли не по закону положено.

skwish ★★
()
Ответ на: комментарий от Gharik

> В вендовом PGP сто лет назад нашли пачку бэкдоров, а потом нашли ещё и ещё.

У вас реальность какая-то параллельная? Баги были, бэкдоров не было. Но баги PGP авторитет Верисайна как бы не поднимают.

anonymous
()
Ответ на: комментарий от Gharik

> Пока работало - не трогали.

К слову сказать, Циммерман предложил отказаться от MD5 ещё в 1996 году после работ Доббертина. И с того времени поддержка MD5 была уже названа legacy, а в 2004 убрана совсем, когда уже доломали.

anonymous
()
Ответ на: комментарий от Gharik

> 1) оперативно реагирует даже на proof-of-concept взлома

> 2) Пока работало - не трогали.

Грандиозно, да? :)

anonymous
()
Ответ на: комментарий от skwish

> Брат, tailgunner. Запихать бекдор в открытый алгоритм - это только инопланетный разум может. А вот пихать бекдоры в закрытые реализации систем шифрования - это чуть ли не по закону положено.

Про законы - наглая ложь (точнее, либеразм), если Вы, конечно, живете в России, а не где-нибудь в США. Учите матчасть и консультируйтесь с юристами, а также общайтесь с людьми "в теме". Это раз.

Во-вторых, бекдорят системы целиком (криптосистема + окружение), а не алгоритмы / реализации алгоритмов, это позволяет избежать зоркого взгляда красноглазиков, проверяющих каждую строчку кода только в "AES.pas". Взять, например, OpenSSL в Дебиан (хотя это не совсем тот класс бекдоров, о которых тут говорят) - уязвимость была лишь в одном компоненте системы, зато куча зависящих от этой компоненты продуктов была незащищена (браузеры, Tor и т.д.). Или, например, целый класс уязвимостей в Висте, которые могут быть использованы для разглашения информации на зашифрованных разделах / контейнерах (включая этот Ваш любимый PGP), но которые не могут быть использованы для взлома EFS и BitLocker. Уязвима ли реализация AES256 в PGP? Нет. Есть ли бекдор в PGP Desktop для разглашения данных? Нет. Зато вот в Висте есть. Скажите, какой красноглазик сумеет своим скудным умишком разглядеть всю картину целиком, а не просто один файл с исходниками?

ЗЫ. Сделайте поиск по слову "PGP" в http://nhtcu.ru/news.html %)

anonymous
()
Ответ на: комментарий от anonymous

слава не мальчика, респект и уважуха, принципы на которых базируются подобные системы шифрования годятся только для коммерческого (читай - там где нет гос. секретов) использования во все остальное обязательно шьют, шили и будут шить дверки, двери и прочие средства доступа к тому, что принято называть частной жизнью граждан того или иного государства

anonymous
()
Ответ на: комментарий от black7

>в генте давно уже sha1 sha256 rmd160 используются для верификации пакетов

И как, хватает стойкости, чтобы верить в скачанный пакет? Гентушники первыми перейдут на sha4096, не дай Бог скачать поддельный gentoo-sources:)

Alve ★★★★★
()
Ответ на: комментарий от anonymous

>> Брат, tailgunner. Запихать бекдор в открытый алгоритм - это только инопланетный разум может. А вот пихать бекдоры в закрытые реализации систем шифрования - это чуть ли не по закону положено.

> Про законы - наглая ложь (точнее, либеразм), если Вы, конечно, живете в России, а не где-нибудь в США. Учите матчасть и консультируйтесь с юристами, а также общайтесь с людьми "в теме". Это раз.

А где у нас делается большая часть закрытых программных продуктов? По каким законам работает MS? По законам РФ?

skwish ★★
()
Ответ на: комментарий от skwish

> А где у нас делается большая часть закрытых программных продуктов? По каким законам работает MS? По законам РФ?

Т.е. про GSP вы еще не слышали?

anonymous
()
Ответ на: комментарий от anonymous

>> Брат, tailgunner. Запихать бекдор в открытый алгоритм - это только инопланетный разум может. А вот пихать бекдоры в закрытые реализации систем шифрования - это чуть ли не по закону положено.

> Во-вторых, бекдорят системы целиком (криптосистема + окружение), а не алгоритмы / реализации алгоритмов

Попробуй найти хотя бы одно отличие.

skwish ★★
()
Ответ на: комментарий от skwish

В случае бекдора в конкретном алгоритме - уязвим весь софт, что использует данный алгоритм;

В случае бекдора в конкретной реализации - уязвима только конкретная реализация какого-либо алгоритма;

В случае бекдора системы целиком - уязвима вся система, вне зависимости от отдельных продуктов и алгоритмов.

anonymous
()
Ответ на: комментарий от anonymous

> В случае бекдора в конкретном алгоритме

В открытом алгоритме бекдор - это практически невозможно. В открытой программе - это почти наверное ошибка, а не бекдор.

skwish ★★
()
Ответ на: комментарий от skwish

> В открытом алгоритме бекдор - это практически невозможно. В открытой программе - это почти наверное ошибка, а не бекдор.

А если об ошибке узнает кто-то раньше, чем разработчик?

anonymous
()
Ответ на: комментарий от anonymous

>> В открытом алгоритме бекдор - это практически невозможно. В открытой программе - это почти наверное ошибка, а не бекдор.

> А если об ошибке узнает кто-то раньше, чем разработчик?

А если большой метеорит из космоса уничтожит жизнь на Земле?

skwish ★★
()
Ответ на: комментарий от skwish

> А если большой метеорит из космоса уничтожит жизнь на Земле?

Ну-ну. Такое происходило только один раз за всю историю Земли. А вот с ошибочками чуть побольше :D

anonymous
()
Ответ на: комментарий от anonymous

>> А если большой метеорит из космоса уничтожит жизнь на Земле?

> Ну-ну. Такое происходило только один раз за всю историю Земли.

Если бы не Доктор - каждое рождество бы случалось ;-)

skwish ★★
()
Ответ на: комментарий от skwish

>> Анонимный брат, они есть и в AES, и в DES, и в SHA*.

> Брат, tailgunner. Запихать бекдор в открытый алгоритм - это только инопланетный разум может.

Есть популярная теория, что в DES есть уязвимость by design, внесенная NSA. Продолжая ее, разумно предположить, что в SHA* и AES есть запроектированные слабости, для нахождения которых нужна вся мощь NSA.

Такая же теория есть насчет SELinux, кстати.

P.S. "Are you paranoid? Good."

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

>Есть популярная теория, что в DES есть уязвимость by design, внесенная NSA.

Да ну? Шнайера читали? Как раз есть популярная теория, что в DES именно силами NSA была внесена защита от дифференциального криптоанализа - техники, которая на тот момент была неизвестна НИКОМУ. Кроме NSA, конечно.

Rolex ★★
()
Ответ на: комментарий от Rolex

Ошибаетесь, в этой теории фигурирует еще и IBM.

anonymous
()
Ответ на: комментарий от tailgunner

Ну, точнее так (сорри за нерусский):

The S-boxes of DES were much more resistant to the attack than if they had been chosen at random, strongly suggesting that IBM knew about the technique back in the 1970s. This was indeed the case — in 1994, Don Coppersmith published the original design criteria for the S-boxes. According to Steven Levy, IBM Watson researchers discovered differential cryptanalytic attacks in 1974 and were asked by the NSA to keep the technique secret.

Rolex ★★
()
Ответ на: комментарий от Rolex

>> Есть популярная теория, что в DES есть уязвимость by design, внесенная NSA.

< Да ну? Шнайера читали?

Учебник - нет, а вообще - да.

> Как раз есть популярная теория, что в DES именно силами NSA была внесена защита от дифференциального криптоанализа

Есть и такая теория, да. Предыдущей - не противоречит :)

tailgunner ★★★★★
()
Ответ на: комментарий от Rolex

> Да ну? Шнайера читали? Как раз есть популярная теория, что в DES именно силами NSA была внесена защита от дифференциального криптоанализа - техники, которая на тот момент была неизвестна НИКОМУ. Кроме NSA, конечно.

А зачем NSA было защищать кого-то от себя?

P.S. Это вопрос без подковырки.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.