> алгоритм SHA1 был "взломан"

Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

> Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

и?

Если SHA1 отпадает, то что на сегодняшний день является безопасным?

>что на сегодняшний день является безопасным?

призирвативы

MD5 рулит

MD5 рулит

$seucre = SHA1(MD5(3DES("string")));

З.Ы. И накаких половых контактов :)

> Если SHA1 отпадает, то что на сегодняшний день является безопасным?

он еще не отпадает.

Во-первых, неясно, будет ли атака работать с произвольным текстом или только с заранее выбранным.
Во-вторых, число операций снижено с 2^80 до 2^69, что, безусловно, плохо, но еще не дает возможности рядовому пользователю успешно атаковать SHA1 даже с учетом birthday attack.
В-третьих, даже если атака работает с произвольным текстом, ясно, что подбор _осмысленного_ текста, соответствующего (если мы говорим в приложении к электронной подписи сообщений, а не теоритезируем) исходному, может оказаться сложной задачей.

В любом случае, про SHA256 и SHA512 пока никто не говорит, что они взломаны. ;)

> алгоритм SHA1 был "взломан"

>Ха-ха-ха, на фига его ломать: http://www.faqs.org/rfcs/rfc3174.html

существует разница) между спецификацией и реализацией) и взлома данных на основе этой спецификации и реализации))

Нифига, так может получиться гораздо слабее чем отдельные хэш функции.

А есть сравнение надежности SHA и MD5 ?

> А есть сравнение надежности SHA и MD5 ?

У SHA1 выход длиннее.

Вы лучше объясните как можно взломать открытый алгоритм.

))))))))))))))0

MD5 был взломан еще в прошлом году - на crypto 2004 (http://www.iacr.org/conferences/crypto2004/) объявили.

http://www.mail-archive.com/cryptography%40metzdowd.com/msg02554.html

Тогда же для кучи поломали md4, sha-0 и предсказали взлом sha1.

SSHA

>Вы лучше объясните как можно взломать открытый алгоритм.

от же дурень, взламывают результат работы ...

практически все аглоритмы шифрации/хеш открыты

> Вы лучше объясните как можно взломать открытый алгоритм.

так же как и открытую операционку

>Вы лучше объясните как можно взломать открытый алгоритм.

не путай открытость алгоритма с дискретной математикой

>MD5 был взломан еще в прошлом году - на crypto 2004 (http://www.iacr.org/conferences/crypto2004/) объявили.

>http://www.mail-archive.com/cryptography%40metzdowd.com/msg02554.html

>Тогда же для кучи поломали md4, sha-0 и предсказали взлом sha1.

Я там нашёл только sha-0. Где там md4/5? Пожалуйста прямую ссылку.

В теории криптографии ВСЕГДА считается, что злоумышленнику известен и способ кодирования и способ передачи, короче все, кроме закрытых ключей. То, что есть спецификация не означает, что ты его взломаешь. Весь смысл в математике преобразований. Учите, короче говоря, мат.часть.

Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

Теперь надо и про SHA-1 пофлеймить...

вот я и говорю, учите матчасть, алгоритм нельзя взломать.

проще самому какой нибудь простой алгоритм накропать и юзать. из за малоизвестности его хрен кто взломает.

самое большое заблуждение в этом мире :)

>Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

>Теперь надо и про SHA-1 пофлеймить...

Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

Большинство комментаторов совершенно не понимают о чем идет речь.

Хэш-функция - это _одностороннее_ математическое преобразование, которое из произвольной входной последовательности дает на выходе _уникальную_ последовательность фиксированной длины.

Коллизия хэш-функции - повторение выходного значения при разных входных данных.

В блоге Б.Шнейдера говорится, что есть сообщение от китайских исследователей (подробности пока недоступны), что у полной хэш-функции SHA1 коллизии наблюдаются на входном множестве 2*69 вместо теоретического значения 2*80. Без сомнения - это плохая новость. Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69. (Вспомните легенду про изобретателя шахмат - там шла речь о количестве зерен на шахматной доске = 2*64).

Так что заварачиваться в саван и ползти на кладбище еще рано..

Используйте WHIRLPOOL

> seucre = SHA1(MD5(3DES("string")));

речь же идет о криптохэшах а не о шифровании. Наслаивание криптохэшей усложняет взлом максимум в 2-3 раза -- сперва ищутся коллизии внешнего хэша, потом внутреннего.

Битность нужно повышать..

Это была шутка из серии "DES для паролей не секурно - используйте PGP" :)

>речь же идет о криптохэшах а не о шифровании. Наслаивание криптохэшей усложняет взлом максимум в 2-3 раза -- сперва ищутся коллизии внешнего хэша, потом внутреннего.

> Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

ГОСТ Р 34.11 - 94

господа а что скажете о RIPEMD160 в качестве альтернативы ...

> Хэш-функция - это _одностороннее_ математическое преобразование, которое из произвольной входной последовательности дает на выходе _уникальную_ последовательность фиксированной длины.

Хотел, наверное, написать _неуникальную_? По определению.

Да пользуйся ты SHA-1 наздоровье)) 2*69 это конечно не 2*80 но знаешь) тоже очень не слабо))))

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69.

ну, а для чего по твоему теперь можно купить процессорное время Grid у Sun? ;)

> Хотел, наверное, написать _неуникальную_? По определению.

Уникальную в смысле - с вероятностью повторения близкой к нулю.

> Хотел, наверное, написать _неуникальную_? По определению.

Неуникальная хэш-последовательность, по определению, - это коллизия.

>Уникальную в смысле - с вероятностью повторения близкой к нулю.

Раньше вероятность повторения оценивали как 1/2*80. А теперь, если подтвердится исследование, эта вероятность будет 1/2*69

>> Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

>ГОСТ Р 34.11 - 94

XOR с длинной ключа равной длинне сообщенгия.

:)

однако так и кодировали советские сообщения для шпионов в Америкосии (после войны) - в соотвествии с бумажкой, на который сгенерены случайные числа + нехитрые манипуляции с числами. Если на другом конце провода у тебя такой бумажки нет, то хрен что расшифруешь, особенно, когда таких сообщений очень много. По-мойму такой способ так и назывался - "листок бумаги" или "блокнот", или что-то типа того :)

>однако так и кодировали советские сообщения для шпионов в Америкосии
>(после войны) - в соотвествии с бумажкой, на который сгенерены
>случайные числа + нехитрые манипуляции с числами. Если на другом конце
>провода у тебя такой бумажки нет, то хрен что расшифруешь, особенно,
>когда таких сообщений очень много. По-мойму такой способ так и
>назывался - "листок бумаги" или "блокнот", или что-то типа того :)

Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается.

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

Мечтательно так - Где бы такой калькулятор взять....

:)

>При достаточном объеме перехватов такой код ломается.

Чушь!

Одноразовый блокнот - это и есть абсолютно невзламываемый шифр (шифр Шеннона). При условии, что гамма (накладываемый ключ) _действительно_ белый шум, длинна гаммы равна длинне сообщения и, самое главное, гамма никогда не применяется повторно.

Эти условия, абсолютно точно, соблюдаются всеми спецслужбами мира. Разработаны специальные механизмы для исключения ошибок людей (самая распространенная - повторное использование гаммы).

Дорогое удовольствие это, однако...

> Этот метод годится для диверсионной группы, которая выходит в эфир 2-3 раза и все. При достаточном объеме перехватов такой код ломается

нет, как раз наоборот. этот метод называется кажется одноразовый блокнот. суть в том что каждое сообщение ксорится таким же по длинне ключем, а ключ этот одноразовый. "блокнот" с ключем существует в двух экземплярах (у разведчика-шпиона и в центре-логове) и можно хоть обпередаваться этими сообщениями - хрен чего вскроешь.

> Но для паникующих рекомендую взять калькулятор и прикинуть, что есть 2*69

>Мечтательно так - Где бы такой калькулятор взять....

Без калькулятора, на пальцах :-))

2*10=1024 ~ 10*3

Соответственно 2*69 ~ 10*21 - по порядку верно.

а логарифмы в школе уже перестали читать? стали только на пальцах показывать? )))

>HellAngel:

Но страничка то каждый раз новая :)

>Про коллизии в MD5 когда-то флеймили http://www.linux.org.ru/view-message.jsp?msgid=633989

>Теперь надо и про SHA-1 пофлеймить...

>Так и чем теперь пользоваться? Blowfish? Или с ним та же беда?

Майкл, при чем тут блоуфиш???? md5 и sha1 - хеш функции. А блоуфиш блочный шифр.

Одно другого не заменяет ну ни в коем разе.

Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

PS Blowfish еще не взломан, и помоему нету даже предсказаний что это когда-нить случиться. Хотя может я и не прав.

> В блоге Б.Шнейдера говорится, что есть сообщение от китайских
> исследователей (подробности пока недоступны), что у полной
> хэш-функции SHA1 коллизии наблюдаются на входном множестве 2*69
> вместо теоретического значения 2*80.
Нет, как я понимаю, там написано, что им удалось создать
алгоритм для получения коллизии за 2^69 операций хеширования,
в то время как обычный брут-форс даёт коллизию за 2^80.
Т.е. они существенно снизили время взлома, а не просто
пересчитали заново вероятность появления коллизии.

> Большинство комментаторов совершенно не понимают о чем идет речь.
Похоже, это как раз только вы:)

>в то время как обычный брут-форс даёт коллизию за 2^80.

Брут-форс (полный перебор) - это и есть "теоретическое значение". Сие означает, что во входном множестве мощностью 2*80+1 гарантировано есть, как минимум, две последовательности, имеющие одинаковый хэш.

>им удалось создать алгоритм для получения коллизии за 2^69 операций хеширования

>>коллизии наблюдаются на входном множестве 2*69

Одно и то-же, только другими словами!

>Похоже, это как раз только вы:)

Когда человек не различает смысла из-за перемены порядка слов, это означает только одно - он ни хрена не понимает предмета обсуждения.

> Одно другого не заменяет ну ни в коем разе. Только если ты будешь в качестве ключа блоуфиша использовать шифруемый текст. Хотя это тот еще бред.

почему? Я всегда считал что это нормальный способ получения криптохэша из шифрования -- как ключ берется или обычный хэш от текста или фиксированная всем известная случайная величина, или их смесь. Потом текст ей шифруется и берется обычный хэш нужного размера. Может не так эффективно, как специально разработанный криптохэш, но секурность должна быть нормальной..

> Сие означает, что во входном множестве мощностью 2*80+1 гарантировано есть, как минимум, две последовательности, имеющие одинаковый хэш.

Не, не гарантировано. Гарантировано в 2^160+1. 2^80 взялось из уже упонимавшегося birthday attack..