The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP

07.01.2020 23:02

Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) представили метод атаки Shambles (PDF), который преподносится как первая практическая реализация атаки на алгоритм SHA-1, которую можно использовать для создания фиктивных цифровых подписей PGP и GnuPG. Исследователи полагают, что теперь все практические атаки на MD5 могут применяться и для SHA-1, хотя пока всё ещё требуют значительных ресурсов для осуществления.

Метод основан на проведении коллизионной атаки с заданным префиксом, позволяющей для двух произвольных наборов данных подобрать дополнения, при прикреплении которых на выходе получатся вызывающие коллизию наборы, применение алгоритма SHA-1 для которых приведёт к формированию одного и того же результирующего хэша. Иными словами, для двух существующих документов можно вычислить два дополнения, и, если одно присоединить к первому документу, а другое ко второму - результирующие хэши SHA-1 для этих файлов будут одинаковы.

Новый метод отличается от ранее предлагавшихся похожих техник повышением эффективности поиска коллизии и демонстрацией практического применения для атаки на PGP. В частности, исследователи смогли подготовить два открытых PGP-ключа разного размера (RSA-8192 и RSA-6144) с отличающимися идентификаторами пользователя и с сертификатами, вызывающими коллизию SHA-1. Первый ключ включал идентификатор жертвы, а второй ключ включал имя и изображение атакующего. При этом благодаря подбору коллизии идентифицирующий ключи сертификат, включающий ключ и изображение атакующего, имел тот же SHA-1 хэш, что и идентификационный сертификат, включающий ключ и имя жертвы.

Атакующий мог запросить цифровую подпись для своего ключа и изображения в стороннем удостоверяющем центре, после чего перенести цифровую подпись для ключа жертвы. Цифровая подпись остаётся корректной из-за коллизии и заверения ключа атакующего удостоверяющим центром, что позволяет атакующему получить контроль и за ключом с именем жертвы (так как SHA-1 хэш для обоих ключей совпадает). В итоге атакующий может выдать себя за жертву и подписать любой документ от её имени.

Атака пока остаётся достаточно затратной, но уже вполне по карману спецслужбам и крупным корпорациям. Для простого подбора коллизии при использования более дешёвого GPU NVIDIA GTX 970 затраты составили 11 тысяч долларов, а для подбора коллизии с заданным префиксом - 45 тысяч долларов (для сравнения в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, а в 2015 году - 700 тысяч). Для совершения практической атаки на PGP потребовалось два месяца вычислений с привлечением 900 GPU NVIDIA GTX 1060, аренда которых обошлась исследователям в 75 тысяч долларов.

Предложенный исследователями метод обнаружения коллизий примерно в 10 раз эффективней прошлых достижений - уровень сложности вычислений коллизии удалось свести к 261.2 операциям, вместо 264.7, а коллизии с заданным префиксом к 263.4 операциям вместо 267.1. Исследователи рекомендуют как можно скорее перейти с SHA-1 на использование SHA-256 или SHA-3, так как по их прогнозам в 2025 году стоимость проведения атаки снизится до 10 тысяч долларов.

Разработчики GnuPG были уведомлены о проблеме 1 октября (CVE-2019-14855) и 25 ноября в выпуске GnuPG 2.2.18 предприняли меры для блокирования проблемных сертификатов - все цифровые идентифицирующие подписи SHA-1, созданные после 19 января прошлого года, теперь признаются некорректными. В CAcert, одном из основных удостоверяющих центров для ключей PGP, планируют перейти на применение более безопасных хэш-функций для сертификации ключей. Разработчики OpenSSL в ответ на информацию о новом методе атаки решили отключить SHA-1 на предлагаемом по умолчанию первом уровне обеспечения безопасности (SHA-1 нельзя будет использовать для сертификатов и цифровых подписей в процессе согласования соединений).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Представлен более эффективный метод определения коллизий для SHA-1
  3. OpenNews: GitHub добавил защиту от атак, использующих коллизии SHA-1
  4. OpenNews: Энтузиасты воссоздали метод мгновенной генерации PDF-файлов с одинаковым хэшем SHA-1
  5. OpenNews: Google продемонстрировал первую успешную атаку на алгоритм хеширования SHA-1
  6. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: sha, collision
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (72) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, N (?), 00:01, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Спецслужбам по карману даже сделать для этого ASIC и щелкать SHA1 как орешки.
     
     
  • 2.33, Аноним (-), 10:56, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Как показали майнеры коинов - это по карману даже мелким стартапам.
     

  • 1.3, Аноним (3), 00:13, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пойду печатать шифроблокноты
     
     
  • 2.4, Аноним (4), 00:23, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Направляю лазерный луч на твоё окно, слушаю принтер по отражению и распознаю распечатанный текст.
     
     
  • 3.12, Аноним (3), 00:58, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ухожу печатать на печатной машинке, под звук душа в ванной
     
     
  • 4.18, Аноним84701 (ok), 01:22, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ухожу печатать на печатной машинке, под звук душа в ванной

    https://www.schneier.com/blog/archives/2005/09/snooping_on_tex.html
    > Li Zhuang, Feng Zhou, and Doug Tygar have an interesting new paper showing that if you have an audio recording of somebody typing on an ordinary computer keyboard for fifteen minutes or so, you can figure out everything they typed.

    (причем, определять текст по звуку компьютерной клавиатуры как бы не посложнее будет, чем по звуку старой доброй механической машинки ;) )

     
     
  • 5.35, Аноним (-), 10:57, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Айда мышкой на наэкранке печатать :). Будет клик 1 кнопки всегда.
     
  • 5.54, scorry (ok), 14:55, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хочу посмотреть на результаты распознавания звука на фоне помехи, ага. Особенно не на фоне душа, а на фоне записанной трескотни из смешанных звуков от той же самой клавиатуры.
     
     
  • 6.66, Аноним (-), 02:34, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А вот это кстати не особая проблема. Даже если вероятность будет не 100%, для многих случаев сойдет. Например, достаточно угадать 70% букв твоего пароля. Остальное, так и быть, можно брутфорсом взять.
     
     
  • 7.72, scorry (ok), 17:48, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот это кстати не особая проблема. Даже если вероятность будет не
    > 100%, для многих случаев сойдет. Например, достаточно угадать 70% букв твоего
    > пароля. Остальное, так и быть, можно брутфорсом взять.

    Ещё раз, для вас, поэтому внимательно читайте: на фоне записи хаотической трескотни от той же клавиатуры. И не тыкайте незнакомым, ради бога.

     
  • 3.29, Дегенератор (ok), 10:07, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У него принтерный пул из лазерков.
     
  • 3.44, Аноним (44), 12:00, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он может направить кучу лазерных лучей на своё же окно, промодулировав их шумом.
     
  • 3.57, Аноним (57), 15:59, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня принтер лазерный, но чтобы тебе было не скучно слушать - направляю колонки на стёкла в окне и включаю погромче что-нибудь вроде Deicide или Burzum.
     
     
  • 4.58, Аноним (58), 16:19, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть кстати колонки в виде присосок на окно (и любые другие гладкие поверхности).
     
  • 4.67, Аноним (-), 02:36, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Deicide или Burzum.

    А теперь товарищмайоры всех стран смогут это скачать и вычесть из записи.

     
  • 3.71, Олег (??), 14:00, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все переговоры теперь только в чистом поле, в окопе глубиной метр.
     

  • 1.5, user90 (?), 00:25, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Паяльник-то проще будет)) Как оторваны от реальности эти товарисчи..
     
     
  • 2.6, Тоска (?), 00:27, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кому вставлять-то?
     
     
  • 3.7, user90 (?), 00:29, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Гыы, ты думаешь, будет сложно найти, кому именно?
     
     
  • 4.10, Грусть (?), 00:50, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Думаю, сложно.
     
  • 3.9, user90 (?), 00:39, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пояснить чтоле развернуто? Это не_чисто_математическая_проблема!Иди выйди бл* на улицу, посчитай, сколько тут натыкано камер, сцуко! Законы там почитай до кучи.. И потом будешь думать не о "кому", а о том, как бы не сделать, чтобы не тебе. Мозгов просто не хватает, увы..
     
     
  • 4.19, Аноним (19), 01:25, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вопрос в цене. Если взломать дешевле, то зачем вставлять. Ломануть и читать спокойно сообщения.
     
     
  • 5.22, Грусть (?), 02:15, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перед тем, как вставлять, надо достоверно установить связь между конкретной последовательностью байт и конкретной жопой.
     
     
  • 6.30, Аноним (30), 10:41, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А это уже пусть конкретная жо доказывает, что у нее нет связи с этим набором байтов.
     
     
  • 7.39, InuYasha (?), 11:48, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты не из прав-ва, случаем, или не из Appllee? )
    Потому что идея "каждой жопе по паяльнику" откуда-то оттуда произрастает... (т.е. "будем жечь всех - нужный субъект сам себя выдаст или сгорит").
     
     
  • 8.56, Аноним (56), 15:56, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тяжело, наверное, не понимать сарказма ... текст свёрнут, показать
     
  • 7.68, Аноним (-), 02:37, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А это уже пусть конкретная жо доказывает, что у нее нет связи с этим набором байтов.

    Так это в таком случае рандомно выбранная жо, а не...

     
  • 6.31, Аноним (31), 10:44, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в загнивающей презумпция невиновности действует. А тут вам не это!
     
     
  • 7.76, Грусть (?), 02:24, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вина и невиновность тут не при чём. Главное - знает жопа код или нет. Если не знает, то никакой паяльник не поможет.
     
     
  • 8.77, АнонАнон (?), 17:25, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А вдруг со страху угадает ... текст свёрнут, показать
     
  • 4.37, drTrue (?), 11:14, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проблема возможности установления цели которой следует встявлять паяльник решается просто. Зашифрованная инфа рассылается всем кому только можно всё равно прочитать её сможет только тот кто владеет включём. В таком случае всему населению вставлять паяльник?
     
     
  • 5.40, InuYasha (?), 11:50, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты не заметил, с всунутыми паяльниками ходят уже большинство быдла (яблочники-то точно). Просто они всё ещё думают что это - лишь зонды )
     
     
  • 6.48, drTrue (?), 12:58, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Деточка, я говорил про настоящий электрический паяльник.
    Яблочники и прочие отдают метаданные, а тело сообщений шифруется, а следовательно эти метаданные нужно обесценить. Если рассылать шифрованные сообщения всем то смысла в метаданных (адрес получателя и т.п.) не будет никакого.
     
     
  • 7.52, Аноним (52), 13:51, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно, блокчейны так и работают
     
  • 7.53, InuYasha (?), 14:32, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Опять ты не понял - угроза отключить от матрицы (100грамм, фсбук, вкака, гулаг-сервисис и т.д.) или удалённо окирпичить гейфон для современного хипстремиста может похуже быть настоящего паяльника.
     

  • 1.8, Аноним (58), 00:38, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Ну наконец-то А то всякие г и утверждали, что использование keyidов не sh... большой текст свёрнут, показать
     
     
  • 2.14, Аноним (14), 00:59, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Столько буков и непонятных вумных слов, непонятно толи бред, толи правда, по большей части, в этом потоке сознания нехватает пруфов и бОльшего количества связности и контекста.
    Но старайтесь ещё, а то получается скорее как у митрофаныча, нежели как у человека в теме.
     
     
  • 3.21, CrazyAlex (?), 01:49, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Общая суть очевидна - у проприетаршика подгорело.
     
     
  • 4.42, InuYasha (?), 11:52, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Такое впечатление уже, что на проприетарщиках половина ТЭЦ работает... )
     
  • 2.34, Аноним (34), 10:57, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Че ты свалил все йяйца в одну корзину? Причем тут GPL и реализации всяких там алгоритмов? Любишь различать фломастеры на вкус и цвет? Во видишь сколько твой словесный понос вызвал вопросов.
    Узбагойся уже, выпей пиона уклоняющегося, и идди уже писать свою реализацию по своей теории и под своей лицензией. Когда вывалишь своё "добро", сюда не пиши. Пожалуйста!
     
     
  • 3.59, Аноним (58), 16:24, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Че ты свалил все яйца в одну корзину? Причем тут GPL и реализации всяких там алгоритмов?

    Притом, что мы живём в реальном мире и решаем практические проблемы. И если ни одна библиотека, реализующая стандарт, в реальном мире неприменима, то и сам стандарт не нужен.

     
     
  • 4.61, Аноним (34), 17:14, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В вашем Мире все может быть по другому. Пожалуйста создавайте свой Мир без фанатизма! Может кому и понравится. Удачи!
     
  • 2.70, КО (?), 09:42, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надо однако заметить, что возможность выпустить два документа с одинаковым hash это не то же самое, что выпустить документ с тем же hash, что и у любого наперед заданного документа.
     

  • 1.13, Аноним (13), 00:58, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ну и фигли не перешли еще на sha3?
     
     
  • 2.15, Аноним (15), 01:02, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ну и фигли не перешли еще на sha3?

    бюрократия-с
    мало того, есть ещё наркоманы, которые с md5 не перешли, а тут даже не как в поговорке про пока жаренный петух не клюнет, тут клюёт уже по полной, прямо отбойником дупло пробивает, а они всё пользуют и пользуют, видать нравится когда в жо$у что-то клюёт.

     
     
  • 3.17, Аноним (19), 01:21, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >с md5 не перешли

    Ты это говоришь так, будто md5 используется только в криптографии.

     
     
  • 4.69, Аноним (-), 02:38, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А где еще? Как быстрый хэш без требований криптостойкости он ни о чем - потому что ни разу не быстрый.
     
  • 2.16, Аноним (58), 01:13, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    NIST потому что (2 орфографических ошибки в слове NSA).
     
  • 2.24, Аноним (24), 04:26, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Sha3 имеет надежность примерно соответствующую sha2. Его сделали не потому, что в sha2 нашли существенные проблемы безопасности, а чтобы подготовить альтернативу на случай, если/когда найдут.
    Учитывая это, а также то, что у sha2 послужной список получше, нет пока что смысла переходить на sha3, который пока еще "темная лошадка" и вполне может оказаться, что при дальнейших исследованиях его поломают еще раньше, чем sha2.
     
     
  • 3.65, Аноним (13), 21:15, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >нет пока что смысла переходить на sha3

    да конечно! sha3 принят как стандарт. точка. все уже протестировано и это стандарт. кто использует что-то кроме sha3 сам себе злобный буратино!

     

  • 1.23, Имя (?), 03:45, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Уже давно существует SHA-3 а кто-то всё ещё пытается взломать SHA-1
    Давайте ещё уязвимости в Windows98 поищите
     
     
  • 2.28, Аноним (28), 09:33, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    SHA-3 не секюрен, нужно больше безопасности
     

  • 1.27, ползкрокодил (?), 09:17, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это чего, теперь окончательно TLS на мобильнике отвалится? Он сертификаты выше SHA1 не умеет, с SHA256 и выше не устанавливаются.
     
     
  • 2.36, Аноним (-), 10:59, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, ставь себе прокси, чтоли, какой, выписав себе любимому сертификат. Придется через прокси ходить, делая SSL bumping.
     
     
  • 3.80, ползкрокодил (?), 14:53, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, ставь себе прокси, чтоли, какой, выписав себе любимому сертификат. Придется через
    > прокси ходить, делая SSL bumping.

    Пробовал ещё пару лет назад Squid поставить и на него мобильник натравить, чот не работает. Не знаю, чего ему не хватает. С MidpSSH решилось включением устаревших шифров на сервере, а тут без понятия даже, куда копать.

     
  • 2.47, Аноним (47), 12:53, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё годика два подождите и сможете с чистой душой пользоваться вместо TLS обычным http. Незачем железку зря греть.
     
     
  • 3.81, ползкрокодил (?), 14:53, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ещё годика два подождите и сможете с чистой душой пользоваться вместо TLS
    > обычным http. Незачем железку зря греть.

    Так в том и беда, что нешифрованные соединения тоже отключают.

     

  • 1.32, timur.davletshin (ok), 10:53, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    SHA256 вроде у меня в GPG и подпиши такие же в дефолтных настройках Evolution. Судя по отправленным письмам, то очень давно. В S/MIME тоже SHA256.
     
  • 1.38, dep346 (ok), 11:26, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Заметьте, здесь речь о подделке двух документов друг под друга. В жизни же обычно один из документов фиксирован, как следствие фиксирован его хеш, и злоумышленнику требуется подделать другой документ, чтобы его хеш сошёлся с оригиналом. А для этой ситуации описанная атака не пригодна.

    Пример в статье: сгенерировать пару ключей-сертификатов в PGP, подсунуть один ключ кому-то для подписи, а затем, пользуясь этой подписью делать подписи с доверием другим ключом. Весьма экзотический сценарий.

    Конечно, от SHA1 надо отказываться, и описанное — важный шаг на пути к его краху. Но всё же не такое страшное событие, как его малюют.

     
  • 1.41, Аноним (41), 11:50, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Специалисты, объясните, почему не подписывать документы сразу несколькими алгоритмами, в идеале - максимально отличающимися по техникам и разработчикам. Ведь это сильно усложнит атаки по поиску коллизий. А использование стандартных алгоритмы конкурирующих стран, например, США, Китая и РФ, уменьшит вероятность наступить в бэкдор.
    Мой дилетантский взгляд видит только одну проблему - утечку информации о ключе через слабые хеши в наборе, но это решается длиной ключа или разными ключами для каждой хеш-функции.
     
     
  • 2.43, InuYasha (?), 11:56, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    на практике не знаю, но а) это больше ЦПУ, б) формат сообщений мб придётся менять
    Правда, не спасёт если все алгоритмы ломаемы.
     
     
  • 3.45, Аноним (41), 12:28, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть даже для каждого алгоритма в отдельности можно легко найти / сенерировать коллизию, но нужно-то будет получить общую коллизию, которая для всех алгоритмов из набора хешей давала нужный результат. Мне это видится задачей гораздо более сложной и менее изученной
     
     
  • 4.46, InuYasha (?), 12:44, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, исходные данные для разных хешей скорее будут различаться, чем совпадать. В результате это изменит задачу с поиска первого подходящего хэша на поиск первой пары совпадений в таблицах разных хэш-функций. Т.е. может усложнить задачу НА время от ОДНОЙ итерации подбора коллизии ОДНОГО хэша до ВСЕХ коллизий ВСЕХ хэшей.
     
  • 2.49, Аноним (58), 13:15, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что есть статьи: https://www.bing.com/search?q=multicollision+filetype%3Apdf
     
     
  • 3.50, Аноним (41), 13:36, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это разве не про случай с HASH1(HASH2(HASH3(payload)))?
    А я говорю о подписи, которая содержит в самом простом случае HASH1(payload) + HASH2(payload) + HASH3(payload), то есть на выходе у нас 3 независимых хэша от исходных данных, для проверки подписи мы проверяем их все
     
     
  • 4.62, Аноним (58), 17:28, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Извиняюсь, я забыл название, а искать было влом. Вот она: 10.1007/978-3-540-28628-8_19. Смотри §4, "On the security of cascaded hash functions".
     
  • 2.51, Аноним (51), 13:50, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Специалисты, объясните, почему не подписывать документы сразу несколькими алгоритмами,
    > в идеале - максимально отличающимися по техникам и разработчикам. Ведь это
    > сильно усложнит атаки по поиску коллизий. А использование стандартных алгоритмы конкурирующих
    > стран, например, США, Китая и РФ, уменьшит вероятность наступить в бэкдор.

    Потому что это не про безопасность. Это бизнес, ничего личного. Целью наблюдаемого повсеместного внедрения стандартов одной страны является доминирование. Из него обыватель делает вывод, что криптография США "лучше", соответственно и остальную продукцию следует покупать у компаний под управлением американского капитала.

     
     
  • 3.63, Аноним (58), 17:30, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы это не США поймали на наличии скрытой структуры в предписанных к использованию хэш-функциях и шифрах.
     
     
  • 4.64, Аноним (51), 17:41, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И как это опровергает исходную посылку "это не про безопасность"?
     
  • 4.73, Сейд (ok), 18:21, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.wikipedia.org/wiki/Dual_EC_DRBG
     
     
  • 5.74, Аноним (58), 20:12, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это в рф россиян обязывают пользоваться российской криптой. В сша же не обязывают, просто анб выпускает набор шифров, а доверчивые ура-патриоты, не верящие в то, что от анб могут быть подлянки и верящие в то, что анб о них печётся, им пользуются.
     
     
  • 6.75, Сейд (ok), 23:56, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В США не обязывают государственный и коммерческий секторы использовать стандарты, разработанные NIST?
     

  • 1.55, Аноним (55), 15:29, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В dm-crypt используется sha1
     
  • 1.78, Тыгра (?), 18:50, 12/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >При этом благодаря подбору коллизии идентифицирующий ключи сертификат, включающий ключ и изображение атакующего, имел тот же SHA-1 хэш, что и идентификационный сертификат, включающий ключ и имя жертвы.

    Ну и? Разный хэш позволит что? Поддельный документ с ЧУЖОЙ подписью? И что, доверия к этому ЧУЖОМУ сертификату всё равно нет, так как у меня в доверенных прописан ИСХОДНЫЙ сертификат, а поддельный - нет.

    Эта схема в PKI фатальна, да, если привязки сертификатов нет, а только доверие к выдавшему CA.

    Ну и да, идентифицировать сертификат ТОЛЬКО по его хэшу - лютый трешняк от программистов-недучек.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру