SHA-1 złamane?, ale jaja :) Opcje

[bregovic]

Według tego jacyś chińczycy złamali SHA-1 - i czym my teraz będziemy hashować?

[Seth]

To moze SHA-256 albo SHA-512... ? :/

Edit: ok... z sha-* mozna sie pozegnac tez nie sa bezpieczne... zostaje wiec RIPEMD-160

Ten post edytował Seth 16.02.2005, 15:03:48

[bregovic]

Według Wikipedii RIPEMD jest kolizyjny, więc... Może napiszemy własny? 8>
A tak na serio to już samo hashowanie nigdzie nie wystarczy... trzeba wszystko HMACować...

[Seth]

RIPMED (oraz wersje 128, 256 i 320) tak ale juz nie wersja 160... wiec moze nie bedzie tak zle...
Swoja droga wglada na to, ze na dobra sprawe hashowanie jest tylko w zalozeniach nie do zlamania.

[hwao]

RIPMED (oraz wersje 128, 256 i 320) tak ale juz nie wersja 160... wiec moze nie bedzie tak zle...
Swoja droga wglada na to, ze na dobra sprawe hashowanie jest tylko w zalozeniach nie do zlamania.

Swoja droga przypomnialo mi sie jak kiedys Kubatron tlumaczyl jak rozkodowac md5 :-)
Pozatym nie uwieze dopuki nie przetestuje ;-)

[NuLL]

[PHP] pobierz, plaintext 
<?
$jakis_hash=mash(md5(sha1($cos_do_zhashowania)));
?>
[PHP] pobierz, plaintext 

Jak @Seth pisze -kazdy sposob hashowania jest tylko teoretycznie niezłamywalny

[PMadej]

czy wy się wściekliście? ... to złamcie hash z płyty 700 mb i podajcie mi dane jakie na niej były ...

[orson]

witam ...

tu chodzi o kolizje ... majac dany hash mozna wygenerowac dane ktore maja taki sam hash ... to nie oznacza ze da sie odgadnac dane poniewaz to jest nie mozliwe i nie bedzie nigdy [hash to jak kompresja stratna] ... wydaje mi sie ze pomysl z 2 roznymi hashami jest dobry ... mozna jeszcze ew przechowywac 2 hashe ... jeden z sha1 drugi z md5 ... odgadniety string z sha-1 [inny niz orginal] nie bedzie odpowiadal zhashowanemu w md5 ... robimy test na true i po sprawie ...

pozdrawiam

[PMadej]

orson: idac twoim tokiem rozumowania ... majac hash mozna wygenerowac dane o takim hashu wychodzi na to ze mozna odzyskac zahashowane dane ... ale dla ograniczonej dlugosci ciagu danych ...

tylko jak to sie ma do tego ze hash ciagu pustego istnieje rowniez.

dla mnie to jest totalnie irracjonalne.

[Seth]

orson: dokladnie o to mi chodzilo mowiac lamanie hasha, chociaz zle sie wyrazilem.

PMadej: nie mozna odzyskac zahashowanych danych. Mozna jedynie uzyskac ten sam hash.
Czyli np. majac hash hasla mozemy podac inny ciag znakow ale takich, ktore utworza ten sam hash i pzowoli nam to na zalgowanie sie.

[Imperior]

A to?
http://www.vmpcfunction.com/function.htm

[PMadej]

PMadej: nie mozna odzyskac zahashowanych danych. Mozna jedynie uzyskac ten sam hash.
Czyli np. majac hash hasla mozemy podac inny ciag znakow ale takich, ktore utworza ten sam hash i pzowoli nam to na zalgowanie sie.

dzięki za wyjaśnienie ... o to własnie mi chodziło

[orson]

witam ...

@Imperior: czytalem o tej funkcji zaraz jak sie pojawila bo bylo o niej slychac [wymyslil ja polak] poniewaz jest bardzo trudna do "zlamania" [przez zlamanie mam na mysli kolizje - 2 rozne stringi daja ten sam hash] a proces hashowania jest bardzo latwy [nie wymaga duzej wydajnosci - przenosne uzadzenia, telefony itp] ale mam jedna zasadnicza wade ... nie ma jej natywnie w php niby mozna napisac funkcjie ktora bedzie hashowac ale moga byc problemy ... i nie bardzo mi sie chce

@Seth i @PMadej: ludzie bardzo czesto to myla ... nie da sie odzyskac zhashowanych danych ... kompresja stratna nazywa sie tak nie bez powodu ...

rozwiazanie z przechowywaniem wynikow z 2 roznych hashow na tym samym stringu wydaje mi sie najlepsze ...

pozdrawiam

[Seth]

@orson: wiem, nie musisz mnie o tym uswiadamiac poprostu to bylo przejezyczenie/skrot myslowy/nie dopatrzenie (niepotrzebne skreslic )

Ale swoja droga zastanawiam sie po co przechowywac dwa hashe ?
Przeciez na dobra sprawe problem ten w przypadku np. logowania nie ma wiekszego znaczenia. Mozna sie martwic o to czy ktos kto ma dostep do bazy danych nie bedzie chcial uzyskac tekstu z identycznym hashem po to aby uzyc go do "wlamania sie" na inne nasze konto - o ile uzywamy "tam" tego samego hasla.
W przypadku serisow/uslug gdzie wysylany jest hash mozna go przejac i wtedy rzeczywiscie problem jest powazny, ale tak jak wyzej napisalem, nie w przypadku np. logowania sie do naszego konta np. w panelu strony.

Ten post edytował Seth 16.02.2005, 22:10:17

[orson]

witam ...

wlasnie ... dlatego nadal bede uzywal przez jeszcze dlugi czas sha-1 do przechowywania hasel ... podalem rozwiazanie gdy ktos potrzebuje czegos bezieczniejszego ... kierowalem sie tonem wypowiedzi autora watku [panika ]

pozdrawiam

[bregovic]

@orson - nie wiem czy zauważyłeś, ale na końcu mojego zdania jest emotikonka - gdyby jej nie było to fakt, można by powiedzieć że panikuje, ale ponieważ jest, to można chyba wywnioskować że nie biorę tego w 100% na poważnie?

I oczywiście, sam fakt możliwości kolizji tak na prawdę niczego nie łamię (o wiele 'ciekawsze' są różne inne rzeczy) - ale mimo wszystko jest to fakt godny odnotowania, i zdecydowanie godny zapamiętania...

Ten post edytował bregovic 16.02.2005, 23:33:46

[spenalzo]

No i co z tego ze zlamane, skoro predzej wygra sie w totka niż dopasuje hashe - bo najpierw trzeba je zdobyć (nikt raczje nie podaje hasha swojego hasła na stronce) i dopiero potem złamać.
Wiec sądze że można nadal spać spokojnie

[hawk]

@Spenalzo: zdobycie hasha jest naprawdę banalnie proste. Hasha przecież sami ci podają.

Cała dyskusja o hashowaniu haseł jest niewarta uwagi, bo to NIE jest istotnie zastosowanie hashy. Taki sobie bajer. Hashy używa się do:
- weryfikowania poprawności dokumentów cyfrowych
- weryfikowania poprawności softwaru
- weryfikowania poprawności linków edonkey
- weryfikowania...

Jeżeli masz podpisany cyfrowo dokument, w którym jest napisane, że płacisz komuś $500, a ktoś zrobi z tego również podpisany przez ciebie dokument opiewający na $5000, to dalej będziesz spać spokojnie? Fakt, że taka ingerencja jest prawdopodobnie niemożliwa, bo trzeba znaleźć taką kolizję, która generuje pożądany tekst. Ale np. jak masz dokument Worda, to możesz dodać metadane itd i jest łatwiej.

Co do linków edonkey, to jest coś dla gości od piractwa. Bardzo ciekawe zastosowanie... możesz wpuścić w sieć fałszywkę, która składa się z dowolnego ciągu bajtów i udaje np. film. Nikt nie będzie w stanie odróżnić tego od oryginału, dopóki nie ściągnie i nie spróbuje odtworzyć. Gdyby udało się znaleźć sposób na generowanie jakichkolwiek kolizji w rozsądnym czasie, to można rozłożyć działające obecnie sieci P2P.

Czyli trzeba najpierw wiedzieć, do czego w ogóle używa się hashy. I naprawdę, nie chodzi tutaj o md5($password).

BTW, bez paniki. 2**69 to i tak kupa czasu. Ponadto cała idea nie jest do końca opracowana; nawet nie opublikowali oficjalnie raportu. Problem polega na tym, że po raz pierwszy ktoś ogłasza, że ma sposób na złamanie SHA-1 inny niż brute force (czyli 2**80). Czyli SHA-1 ma słabe miejsca. Czyli za jakiś czas ktoś może zrobi z tego 2**49. Najtrudniejszy jest pierwszy krok.

edit: @Imperior: A VMPC to jest w ogóle hash? Na samym początku autor się chwali, że odwrócenie funkcji wymaga 2**260 operacji. Fajnie, tylko że hashy się z definicji nie odwraca... OK, autor opisuje jeszcze VMPC-MAC, o długości 20 bajtów. 20 bajtów = 160 bitów, czyli znalezienie kolizji wymaga 2**80 operacji (brute force), a nie 2**144. Coś mi tu wygląda na pieprzenie w bambus...

[sztosz]

@Hawk: Jestem naprawdę wdzieczny za twojego posta, bo dopiero to mi rozjaśniło troche w głowie.

[Vengeance]

Fakt, że taka ingerencja jest prawdopodobnie niemożliwa, bo trzeba znaleźć taką kolizję, która generuje pożądany tekst. Ale np. jak masz dokument Worda, to możesz dodać metadane itd i jest łatwiej.

Jest możliwa... polecam najnowszy numer hackin9. Opisane na przykładach... skrypty dolaczone na CD. Wszystko opiera sie na badaniach pewnych chinskich naukowcow.