До конца года ожидается появление практических атак по подбору коллизий для SHA-1

11.10.2015 22:13

Брюс Шнайер, известный эксперт в области компьютерной безопасности, сообщил, что данный им три года назад прогноз стойкости алгоритма хэширования SHA-1 оказался излишне оптимистичным и появление первой практической атаки по подбору коллизий для SHA-1 можно ждать не в 2018 году, а до конца текущего года. Напомним, что по прогнозу Шнайера в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, в 2015 году прогнозировалось уменьшение стоимости до 700 тысяч, к 2018 году до 173 тысяч, а к 2021 до 43 тысяч долларов.

Группа исследователей из научных учреждений Голландии, Франции и Сингапура разработала оптимизированный метод подбора коллизий для функции сжатия, используемой в SHA-1 (не сам алгоритм SHA-1), который существенно сокращает время атаки и стоимость её проведения. При проведении эксперимента представленный алгоритм позволил осуществить подбор префикса за 9-10 дней на кластере из 64 GPU. При этом, стоимость вычислений, с учётом создания такого кластера на базе вычислительной мощности на Amazon EC2, составила всего 2 тысячи долларов. Время подбора реальной коллизии для произвольного хэша SHA-1 оценивается в 49 до 78 дней при вычислениях на кластере из 512 GPU, стоимость работы которого на базе Amazon EC2 составит 75-120 тысяч долларов.

С учётом того, что работающие атаки могут стать реальностью в ближайшие несколько месяцев исследователи рекомендуют пересмотреть сроки перевода SHA-1 в разряд устаревших технологий. Принятый ранее план предусматривает отказ от SHA-1 начиная с 2017 года, в то время как исследователи безопасности настаивают, что с учётом увеличения эффективности проведения атак, SHA-1 должен прекратить своё существование уже в январе 2016 года. Ситуацию усугубляет то, что около 28% сайтов в сети пользуются SHA-1 для заверения своих HTTPS-сертификатов и отрасль оказалась не готова к экстренному отказу от SHA-1.

исправить +23 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43124-sha

Ключевые слова: sha

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (36)

1.4, Аноним (-), 00:09, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А когда интересно планируют переводить git с SHA-1?

2.6, anonymous (??), 00:28, 12/10/2015 [^] [^^] [^^^] [ответить]	+4 +/–
> А когда интересно планируют переводить git с SHA-1? А зачем? От того что научились в обозримые сроки подбирать коллизию, vcs не холодно не жарко — вероятность то не изменилась.

2.7, Инкот (?), 00:29, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
Чтобы не проводили атаки на репозитории Git?

3.9, anonymous (??), 00:33, 12/10/2015 [^] [^^] [^^^] [ответить]	+2 +/–
> Чтобы не проводили атаки на репозитории Git? А можешь накидать схему атаки?

4.11, Аноним (-), 01:19, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
На файловую систему DoS хеш-таблиц?

5.12, pavlinux (ok), 01:23, 12/10/2015 [^] [^^] [^^^] [ответить]	+3 +/–
> DoS хеш-таблиц? Угу, и ещё мягкий, тёплый, восьмиугольный, фиолетовый голос.

6.43, count0krsk (ok), 06:55, 15/10/2015 [^] [^^] [^^^] [ответить]	+/–
Не путайте тёплое с мягким! Голос может быть только тёплым, ЛАМПОВЫМ!

2.23, robux (ok), 07:17, 12/10/2015 [^] [^^] [^^^] [ответить]

+9 +/–

> переводить git с SHA-1?

Вы путаете применение хэша в ЭЦП (в том числе для авторизации) и для идентификации разных блоков данных внутри доверенных сетей.

Так вот, ДЛЯ ИДЕНТИФИКАЦИИ устойчивость хэша к атаками НЕ НУЖНА.
Устойчивость хэша к атаками нужна только для ЭЦП и при авторизации.

Поэтому идентификационные хэши должны быть маленькие и быстрые (MD5, SHA1).
А подписные и авторизационные - громоздские и тяжелые (SHA2-512 и выше).

В гите же SHA1 используется для идентификации блоков (коммитов, файлов), поэтому анально-огороженный хэш ему и не нужен.

3.34, онаним (?), 21:31, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
>В гите же SHA1 используется для идентификации блоков а также для проверки целостности (аутентичности). ;)

4.35, Ytch (ok), 21:58, 12/10/2015 [^] [^^] [^^^] [ответить]

+3 +/–

>>В гите же SHA1 используется для идентификации блоков
> а также для проверки целостности (аутентичности). ;)

Для случаев НЕПРЕДНАМЕРЕННОГО её (целостности) нарушения (например, типа сбоя жесткого диска)! Другое и не заявлялось. Да и это-то скорей побочный эффект. Для остального - ЭЦП. Механизмы там имеются "испокон веков".

Примерно так же как, например, различные (уже изначально вообще "нестойкие" к взломам) CRC при передаче данных.

5.37, онаним (?), 10:33, 13/10/2015 [^] [^^] [^^^] [ответить]	+/–
Спасибо, теперь все ясно.

4.36, robux (ok), 10:22, 13/10/2015 [^] [^^] [^^^] [ответить]

+1 +/–

> а также для проверки целостности (аутентичности). ;)

Как выше уже сказали - только как аналог CRC.

В добавок к этому в git'е есть возможность задействовать ЭЦП с более сложными хэшами в своей основе (определяется пользователями-подписантами).

1.8, Лайка Ваймуле (ok), 00:30, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Ну и как обычно потом окажется, что китайцы используют в качестве пароля "маодзедун"

2.24, Анонимус сапиенс (?), 08:31, 12/10/2015 [^] [^^] [^^^] [ответить]	–2 +/–
Да они его продали 146 раз.

1.15, Kodir (ok), 02:08, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я перешёл на https://blake2.net/ - вроде грят более надёжный, чем sha*.

2.17, Аноним (-), 02:31, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
На sha3 нужно переходить

3.18, Аноним (-), 03:02, 12/10/2015 [^] [^^] [^^^] [ответить]	+5 +/–
> На sha3 нужно переходить ФБР/АНБ перелогиньтесь!

4.40, Товарищ Майор (?), 10:56, 14/10/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Не палите коллег.

1.19, б.б. (?), 03:30, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Пароли рухнут и свобода нас встретит радостно у входа

2.20, Аноним (-), 06:29, 12/10/2015 [^] [^^] [^^^] [ответить]	+22 +/–
Пароли рухнут и свобода. Нас встретят радостно у входа.

3.26, bOOster (ok), 09:16, 12/10/2015 [^] [^^] [^^^] [ответить]	–5 +/–
Пароли рухнут, и свобода нас встретИт радостно у входа.

4.27, Аноним (-), 10:25, 12/10/2015 [^] [^^] [^^^] [ответить]	+6 +/–
встретЯт

4.41, Товарищ Майор (?), 10:58, 14/10/2015 [^] [^^] [^^^] [ответить]	+4 +/–
вряд ли я один буду встречать.

3.29, для неграмотных (?), 12:34, 12/10/2015 [^] [^^] [^^^] [ответить]	+4 +/–
Пароли, Рухнут и Свобода Нас встретят радостно у входа.

4.39, fa (??), 10:21, 14/10/2015 [^] [^^] [^^^] [ответить]	+/–
пароли рухнут и санитары и винни пух и волшебный кролик нас встретят радостно у входа

5.44, count0krsk (ok), 07:00, 15/10/2015 [^] [^^] [^^^] [ответить]

+1 +/–

> пароли рухнут и санитары и винни пух и волшебный кролик нас встретят
> радостно у входа

Волшебный кролик
Рисует мелом нолик
Очки надевает,
Матан изучает ))

1.21, arisu (ok), 07:02, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
да на здоровье. чем быстрее грохнут — тем лучше.

1.25, Нанобот (ok), 09:14, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
помню, в EMV-картах (банковские карты с чипом) используется sha1 для проверки подписи карты. Потенциально можно будет подделать/клонировать карту. Хотя, скорее всего, такую карту всё равно нельзя будет использовать для проведения онлайн-транзакций

2.28, cmp (ok), 10:51, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
на алиэкспресс достаточно того, что на карте нарисовано, т.е. можно скан карты с двух сторон использовать.

3.31, Аноним (-), 15:55, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
У вас карта без 3-D Secure ?

4.32, Snaut (ok), 17:50, 12/10/2015 [^] [^^] [^^^] [ответить]

+/–

> У вас карта без 3-D Secure ?

Насколько я в курсе пофиг

https://ru.wikipedia.org/wiki/3-D_Secure#.D0.9F.D1.80.D0.BE.D0.B1.D0.BB.D0.B5.

5.33, rico (ok), 19:30, 12/10/2015 [^] [^^] [^^^] [ответить]	+/–
Там неточно написано, поддерживает payment gateway, в данном случае это alipay, на сайте которого не видел логотипов 3D Secure, а Visa, насколько я знаю, требует размещения логотипов, если технология поддерживается.

1.30, Аноним (-), 15:48, 12/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Microsoft уже переходит на новые хэши - последние дистрибутивы скайпа подписаны SHA1 и SHA2 одновременно. //скайпом не пользуюсь, но подписи на дистре видел

1.42, nexfwall (ok), 18:45, 14/10/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Telegram'у скоро придётся переходить на что-то другое.

2.49, Аноним (-), 19:38, 15/10/2015 [^] [^^] [^^^] [ответить]

+/–

> Telegram'у скоро придётся переходить на что-то другое.

Сильно подозреваю, что не "скоро", а "уже давно".

То, что пишет Шнайер (не стоит забывать, где он работает) - как правило уже реализовано Теми, Кому Надо.

1.51, depeche (??), 00:18, 21/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>> отрасль оказалась не готова к экстренному отказу от SHA-1 Всем плевать просто - все проблемы грамотные менеджеры, которые за 100 баксов подавятся, сбросят на пользователей.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: