[SimonP]

På Eurocrypt2009 framkom det att attacken med SHA-1 kollisioner har blivit förbättrad till 2^52 operationer.
http://eurocrypt2009rump.cr.yp.to/837a0a80...409ddfae43d.pdf

För många år sen när SHA1 var en ny algoritm låg kollisionssäkerheten på 2^80 operationer, det är så pass mkt att även en stor organisation inte kunde skapa kollisioner.

Allt eftersom åren gått har attackerna förbättras och är nu nere på 2^52.
2^52 är definitiv inte tillräckligt för en hashfunktion.

De kollisioner som man syftar på är av typen "chosen-prefix", precis som med MD5-kollisionerna så påverkar dessa kollisioner inte vanliga lösenordssystem, men i praktiken kan man säga att SHA1 blir oanvändbar som signaturalgoritm, när en hashalgoritm blir knäckt man man skapa mkt allvarliga attacker, precis som man gjorde med MD5:
http://www.sitic.se/publikationer/namnvart...v-md5-attacken/

Om ovanstående 2^52-attack är korrekt innebär det att man skyndsamt skall sluta använda SHA-1 som signaturalgoritm, detta kommer att påverka många företag, organisationer och programvaror, t.ex OpenSSL och OpenPGP, dom flesta HTTPS sidor kommer att behöva byta ut sina certifikat.

[Oskar Lindgren]

\o/

SHA-2 nästa.

[Xamda]

"Well funded orgainsations" står det i det dokument du länkade till... Jag skulle vilja se detta omsättas i praktiken. Det har i princip ingen som helst praktisk betydelse bara för att man rent teoretiskt kan visa en risk.

Det är lite som att säga att om gummit på vänster framhjul på din bil plötsligt överhettas och blir flytande så kraschar du din bil. Det är högst osannolikt.

Men det är alltid kul med teorier...

[coredev]

Förtydligar denna nyhet lite grand.

För 99% av oss webutvecklare finns det varken anledning till oro eller anledning att ändra i befintlig kod. De svaheteter som finns i både SHA-1 och MD5 påverkar mycket lite om man använder hashen som en checksumma eller använder den för att förstöra lösenord i en databas.

Som det står i texten kan det dock vara så att SHA-1 inte längre är lämplig att använda vid kryptografisk kommunikation. Detta är dock inget att oroa sig för - alla kryptogram går att forcera bara man har tillräckligt med tid på sig, och allt denna nya upptäckten leder till är att man kan ha möjlighet att förkorta den tiden lite.

[Lumax]

Vad ligger kollisionssäkerheten på hos MD5?

[SimonP]

Citat:

För 99% av oss webutvecklare finns det varken anledning till oro eller anledning att ändra i befintlig kod. De svaheteter som finns i både SHA-1 och MD5 påverkar mycket lite om man använder hashen som en checksumma eller använder den för att förstöra lösenord i en databas.

Det var därför jag postade den i avdelningen "Serversidans teknologier".
Det är på serversidan som denna typ av kollisioner kan påverka.

[SimonP]

Xamda & Coredev:

Ni bör nog läsa och förstå MD5-attacken först, den tvingade RapidSSL att ändra sina rutiner samt att många serverägare fick byta ut sina SSL-certifikat + en del andra åtgärder, att vifta bort denna förbättrade SHA1 attack som ointressant gör garanterat ingen som är insatt i kryptering.

Om SHA1-attacken ovan stämmer så blir det en påtvingad snabbare utfasning av SHA1.

[SimonP]

Citat:

Originally posted by Lumax@May 6 2009, 12:00
Vad ligger kollisionssäkerheten på hos MD5?

2^32 tror jag den senaste attacken kräver, en simpel chosen-prefix tar några sekunder att göra på en laptop.

[coredev]

Citat:

Originally posted by SimonP@May 6 2009, 13:45
Xamda Coredev:
Ni bör nog läsa och förstå MD5-attacken först, den tvingade RapidSSL att ändra sina rutiner samt att många serverägare fick byta ut sina SSL-certifikat + en del andra åtgärder, att vifta bort denna förbättrade SHA1 attack som ointressant gör garanterat ingen som är insatt i kryptering.
Om SHA1-attacken ovan stämmer så blir det en påtvingad snabbare utfasning av SHA1.

Jag har god insikt i kryptografi då mitt tidigare arbete till stor del handlade om att bygga kryptografiska autentiseringslösningar för banker och finansiella instutioner. Så jag inser faran av t.ex. kollitionssvagheter hos hash-funktioner och jag inser även på vilket sätt detta kan påverka en HMAC i ett kryptografiskt protokoll som t.ex. SSL / TLS.

Jag postade min "avdramatesering" med tanke på vilken publik som rör sig på WebmasterNetwork.se. Som jag skriver så använder många i vår bransch inte SHA-1 i ett samanhang som gör att den nya sårbarheten går att utnyttja. Det är helt enkelt viktigare för våra kära kollegor att höja andra säkerhetsaspekter än att börja byta SHA-1 till SHA-512. Väldigt många lagrar t.ex. fortfarande (!) lösenord i klartext / är känsliga för SQL-injections.

Du skriver att utfasningen av SHA-1 kan bli snabbare. Det är både sant och falskt. SHA-1 kommer tyvärr att vara en del i väldigt många kommuikationslösningar under lång tid framöver - precis som MD5 fortfarande är. Det finns tyvärr alldeles för många gamla system som står och snurrar som inte kommer att bli uppdaterade. Vi får dock hoppas på att nya kommunikationsstandarder använder lite mer moderna algoritmer.

[tartareandesire]

Citat:

Originally posted by SimonP@May 6 2009, 13:31

Citat:

Det var därför jag postade den i avdelningen Serversidans teknologier.
Det är på serversidan som denna typ av kollisioner kan påverka.

Visst är det så men man måste också anpassa säkerheten efter vad det är för verksamhet och typ av tjänster man arbetar med. För de allra flesta fungerar SHA-1 eller till och med MD5 alldeles utmärkt.