mboost-dp1

Shattered.io

Google annoncerer første SHA-1 collision angreb

- , indsendt af arne_v

Secure Hash Algorithm 1 (SHA1) er som krypoteringsværktøj dømt ude, efter krypteringen er blevet brudt, og de gængse browsere har da også lukket døren for brug af SHA1.

Nu melder Google om det første succesfulde ‘collision attack’ på SHA1. Denne type angreb giver hackeren mulighed for at erstatte filer på serveren, uden dette tænder nogen form for advarselslamper.

Google har gennemført angrebet sammen med hollandske forskere, der i 2015 var medforfattere til den videnskabelige artikel ’The SHAppening', hvor det blev demonstreret, hvordan man for mellem 75.000 og 120.000 dollars kunne bryde SHA1 ved hjælp af Amazon Web Services (EC2) – en opnåelig pris for f.eks. lande, der er engageret i cyberkrigsførelse eller industrispionage.

Resultaterne af angrebet er beskrevet i dette researchdokument.

Selv om forskerne beskriver angrebet som ‘en af de største beregningsopgaver nogensinde gennemført’, vil Google alligevel frigive ‘proof of concept’ kode om 90 dage.





Gå til bund
Gravatar #1 - Jim Night
28. feb. 2017 12:41
Betyder det så at sider der bruger hmac-sha1 er usikre?
Gravatar #2 - arne_v
28. feb. 2017 13:00
#1

Så vidt jeg forstår det så kan HMAC-XXX godt være sikker selv om der er collision svagheder i algoritme XXX.

Men jeg er ikke skrap nok til matematik til helt at forstå problemstillingen.

Læs selv:

http://cseweb.ucsd.edu/~mihir/papers/hmac-new.pdf

Medmindre du er PhD i matematik/dataologi med speciale i kryptografi, så vil jeg anbefale dig bare at følge gængse anbefalinger.
Gravatar #3 - Jim Night
28. feb. 2017 13:07
#2 Tak for uddybningen. Jeg arbejder ikke selv med det, men en hjemmeside vi bruger til login til WiFi på min arbejdsplads, bruger hmac-sha1. Chrome brokker sig over sikkerheden.
Gravatar #4 - arne_v
28. feb. 2017 13:51
#3

Er du sikker på at det er HMAC-SHA1 som er problemet?

Ref:

http://security.stackexchange.com/questions/145196...
Gravatar #5 - Jim Night
28. feb. 2017 14:29
#4 Det ved jeg ikke, men det er det eneste der er nævnt i chromes advarsel.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login