Názory k článku
Neudělení víza prof. Wangové neuchrání americký národní standard SHA-1 od pohromy ...
-
BobTheBuilder (neregistrovaný)Skoro souhlas, až na to smetiště dějin pro hasovací funkce. Jak ostatně kdosi zmínil i v diskusi pod článkem "Odpočúvanie šifrovaných spojení", není asi až takový problém najít řetězec, který má stajný hash (jakýkoliv), ale k nějakému řetězci stvořit jiný řetězec podle mých potřeb, který bude mít stejný hash, je zcela jiná úloha.
Jedinečný "hash" je asi pouze bezztrátová komprese. -
Pokud jde o výraz smetiště dějin - pak s Vami lze souhlasit.
SHA-1 sehrala tak dulezitou ulohu, ze natrvalo se do dejin zapsala a bude tedy i v budoucnu urcite citovana ...
Pokud jde o Vase \"filosofovani\" na tema ... \"není asi až takový problém najít řetězec, který má stajný hash (jakýkoliv)...\", pak se moc souhlasit neda. Je tam spoustu nepresnosti a nejasnosti. Zde je nutne opravdu vazit kazde slovicko.
Strucne shrnuti (jinak doporucuji pro objasneni clanky Vlastimila Klimy, ktere zde k tematu na root.cz jsou k dispozici, vcetne diskuzi):
- je vypocetne jednoduche spocitat otisk ke zprave, algoritmus se netaji naopak je standardizovan
- je vypocetne slozite k otisku najit nejakou zpravu, ktera ma tento otisk (rozumej tak slozite, ze to se soucasnym tech, vybavenim a znalosti algoritmu neumime)
- z definice hashovacich fci je jasne, ze ke kazdemu otisku je teoreticky mozne najit \"nekonecne\" zprav s timto otiskem
- kolizi se nazyva, kdyz umime najit dve zpravy se stejnym otiskem
- lisi se uloha - najit dve zpravy se stejnym otiskem a uloha najit zpravu ke konkretnimu otisku (!)
- kolize MD5 (a nyni teoreticky mozne vyhledani kolize SHA-1 v rozumnem case) se tyka ulohy najit dva texty se stejnym otiskem
S pozdravem
Pavel Vondruska -
Je to zajimava myslenka, ale zklamu Vas.
a) automaticky kolize dvou textu podle SHA-1 neni kolizi podle MD5 a opacne (opacne je to jasne, to by jiz Wang, Klima apod. davno meli utok na SHA-1 v kapse)
b) Jak jsem jiz psal, uloha najit k textu (pevnemu) jiny text se stejnym otiskem je jinou ulohou nez najit dva texty (ktere oba vhodne menim) se stejnym otiskem. Z tohoto pohledu je mozne pro pevny text uchovavat oba otisky (MD5 a SHA-1) a integritu hlidat proti obema. Zvysujete bezpecnost po dobu, nez bude mozne najit k pevnemu textu kolizni text (text se stejnym otiskem).
Cimz nechci rici, ze by se nenasly situace, kde to uchovavavni obou otisku zase tak velky smysl nema (a nezabrani nekalym hratkam)... -
Tema vylepseni utoku na SHA-1 se zacalo ve svete diskutovat.
Zasilam dva odkazy, ktere muzete take najit v nasem dnesnim NEWS na Crypto-Worldu.
Schneierův blog - New Cryptanalytic Results Against SHA-1
http://www.schneier.com/blog/archives/2005/08/new_cryptanalyt.html
(doporucuji i prislusnou diksuzi)
a clanek
SHA1 attack updated at Crypto, US responds by stifling research
https://www.financialcryptography.com/mt/archives/000533.html -
Neda mit, abych neupozornil na zajimavou situaci a to presne v duchu clanku (Odpočúvanie šifrovaných spojení), ktery zde dnes na root.cz je (http://www.root.cz/clanky/odpocuvanie-sifrovanych-spojeni/)
Pokud se totiz chcete podivat na mnou doporuceny clanek:
https://www.financialcryptography.com/mt/archives/000533.html
SHA1 attack updated at Crypto, US responds by stifling research
na Financial Cryptography,
pak pri sestaveni SSL komunikace se objevi:
a) Nejsou k dispozici informace o odvolani certifikatu..
b) Název uvedený v certifikátu zasbezpečení není platný nebo neodpovídá názvu serveru.
c) A navic použitá hašovací funkce je MD5
Docela pekna ukazka ruznych problemu, ze ... -
2ge (neregistrovaný)mne v opere pekne vypise:
- The server's name "www.financialcryptography.com" does not match the certificate's name "financialcryptography.com". Somebody may be trying to eavesdrop on you.
- The certificate for "financialcryptography.com" is signed by the unknown Certificate Authority "CA Cert Signing Authority". It is not possible to verify that this is a valid certificate
inac dakujem za pekny clanok, amici su fakt nepoucitelni, nedat takej kapacite visum, no neviem...
Okrem toho, preco sa nepouziva v realnom svete kombinacia viacerych hash. alg. ? Napriklad ako bolo zmienene - sha1 a md5. -
Komentar k :
- Okrem toho, preco sa nepouziva v realnom svete kombinacia viacerych hash. alg. ? --
---
Je to stejne jako kdyby se pri sifrovani pouzila za sebou dva odlisne sifrovaci algoritmy. Mozne to je, ALE. Pokud je prvni transformace otevreneho textu na sifrovy bezpecna, pak ta druha uz vlastne nema prilis velky vyznam...
Pokud jsme pouzivali hašovací funkce o nichž jsme se domnivali, že jsou odolne proti kolizim (česky méně přesný výraz bezkolizní), pak take pouziti dvou hašovacích fci moc smysl nema.
Navic budete muset ukladat (cca) dvojnasobek informaci..
-
Spravna cesta bude sahnout po silnych hasovacich funkcich jako SHA-224, SHA-256, SHA-512. Navic se jiz objevuji (dokonce i na zminene konfeenci CRypto) prispevky jak "bezkoliznost" zajistit. Resp. u novych funkci si dat pozor na diferencni utoky typu prof. Wang.
-
Cesta s uschovanim hasu vypoctenych podle vice slabsich algoritmu neni dobra a muze byt jen velmi kratkym a nouzovym resenim...
