Возможность встраивания бэкдора в нестандартные реализации SHA-1

05.08.2014 23:55

Группа исследователей из Германии, Швейцарии и Австрии опубликовала результаты проекта Malicious SHA-1, в рамках которого было проведено исследование возможности создания уязвимых реализаций криптографических хэш-функций SHA-1. Исследователи выявили, что изменив рекомендуемый стандартом набор констант можно добиться существенного повышения вероятности появления коллизий и управлять их появлением. В частности, можно специально подобрать такой набор констант, который приведёт к появлению коллизий для заданных наборов данных.

В качестве демонстрации представлено несколько случайно выбранных изображений для которых изменение значений четырёх 32-разрядных констант приводит к вычислению идентичных хэшей при использовании алгоритма SHA-1. Соответствующие стандарту реализации SHA-1 не представляют угрозы, но указанный эффект может быть использован для подстановки бэкдоров в нестандартные реализации SHA-1, применяемые в обособленных продуктах.

исправить +19 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/40331-sha

Ключевые слова: sha

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, Xasd (ok), 00:42, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
долго читал сегодня эту новость на english языке и не всё понял. хорошо что OpenNet нормально на русском языке написал в чём же дело

2.26, dq0s4y71 (ok), 18:31, 06/08/2014 [^] [^^] [^^^] [ответить]	+/–
А я наоборот - не всегда понимаю переводы некоторых переводчиков...

1.2, chinarulezzz (ok), 00:51, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
>В качестве демонстрации представлено несколько случайно выбранных изображений это эти, что в новости? :-D

2.13, Аноним (-), 10:42, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Смешнее будет, если NSA так уже сто лет умеет, зная что-то о константах SHA-1 чего мы не знаемю.

1.3, Аноним (-), 01:16, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
> Исследователи выявили, что изменив рекомендуемый стандартом набор констант можно > добиться существенного повышения вероятности появления коллизий и управлять их > появлением. В частности, можно специально подобрать такой набор констант, который > приведёт к появлению коллизий для заданных наборов данных. Мм... Окей. Я тогда уязвимость в ssh нашел. Изменив рекомендуемую длину ключа до одного символа можно существенно ускорить его подбор.

2.6, pavlinux (ok), 04:23, 06/08/2014 [^] [^^] [^^^] [ответить]	–1 +/–
> Изменив рекомендуемую длину ключа до одного символа можно существенно ускорить его подбор. А можно выйти на Красную Площадь с плакатом "Я - против оружия", и отстрелить себе яйцо.

3.7, бедный буратино (ok), 06:07, 06/08/2014 [^] [^^] [^^^] [ответить]

+/–

это ты такой ыксперт?

http://www.youtube.com/watch?v=DzRTKNM0meU

Канат Аманбаев
я под эту песню первый раз трахался))

Сталкер Сталкерович
как интересно . и как оно ? понравилось ?

Виталий Охримчук
трахаются петорасы, мужик трахает.
·
pavlinux
+Виталий Охримчук Если баба полено - то да! Сочувствую.

4.25, V (??), 17:15, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
там ещё есть: > pavlinux > 1 week ago > > Какая в ж..пу ностальгия, вы чо... детишки ??? С ужасом вспоминаю, с 89 по 99 годы. Время гопоты, > шмаль на каждом углу, спирт Рояль, жрать в стране нечего, гуманитарная помощь Запада в виде банки > ветчины и сухого молока, сахар/водка/сигареты - по талонам... Комендантские часы в 93-году... Менты > шмонают через одного.

3.14, Аноним (-), 10:43, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> А можно выйти на Красную Площадь с плакатом "Я - против оружия", > и отстрелить себе яйцо. Зачем? Тебе его и так острелят за то что ты с плакатом вышел. Или ты хочешь чтобы полисмены обломались? :)

4.17, anonymous (??), 11:49, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
С чего бы это полисменам обламываться? Там всего одно яйцо? :D

3.19, YetAnotherOnanym (ok), 13:02, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Сейчас модно яйца прибивать гвоздём к брусчатке. Но отстрелить - это тоже креативно, концэптуально и по-граждански.

4.23, Аноним (-), 16:49, 06/08/2014 [^] [^^] [^^^] [ответить]

+/–

> Но отстрелить - это тоже креативно, концэптуально и по-граждански.

Увы, ношение оружия гражданам этой страны запрещено. Вот и приходится гвоздями обходиться...

4.24, Клыкастый (ok), 17:14, 06/08/2014 [^] [^^] [^^^] [ответить]	+/–
прибивание мошонки к нарам - стародавнее развлечение зеков. с большим опозданием бестолковый Творец стырил.

1.4, Sergey (??), 02:56, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Если поменять константы, то это уже будет не SHA-1. И никто кроме поменявших себе алгоритм не получит такие же результаты. В оригинале сразу написано что к оригинальному SHA-1 это не относится. И все результаты получены на измененном стандарте (читай на другой хеш функции)

2.16, cmp (ok), 11:14, 06/08/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Да мне вот тоже интересно, а md5 или любой другой алгоритм хэширования типа не меняет распределение при изменении констант, нахрена бы они тогда нужны были.

3.18, Аноним (-), 12:51, 06/08/2014 [^] [^^] [^^^] [ответить]	+/–
Ну, как бы если округлить число Pi до 3.0, то можно очень много интересных теорем придумать, только к нашему "реальному" миру они отношения иметь не будут.

4.22, cmp (ok), 16:37, 06/08/2014 [^] [^^] [^^^] [ответить]

–1 +/–

У Шнайера вроде в книге "Прикладная криптография", эти блоки рассматриваются под разными углами, все за и против взвешены, и возможно даже статистика по влиянию их на энтропию есть, для алгоритмов шифрования конечно, что сути не меняет. Дано логичное резюме - мол если используете в какой-то своей поделке, то делайте че хотите, а хотите чтобы было универсально, извольте соблюдать стандарт. То есть получается, исследователи исследовали некую очевидную вещь, получили предсказуемый результат. с тем же успехом можно переисследовать второй закон Ньютона.

> Ну, как бы если округлить число Pi до 3.0, то можно очень много интересных теорем придумать, только к нашему "реальному" миру они отношения иметь не будут.

если округлить число Pi до -3.0, то да, а вот расчитывая кол-во краски необходимой для окрашивания некой круглой поверхности вороватым прорабом, с какой точностью не считай все равно спи..т)).

1.5, Психиатр (ok), 03:24, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]

+4 +/–

Угу, да легко:

$cat crypto_hash

#/bin/bash

for F in "$@"; do
[ -f $F ] && echo $F 27839018230812038da929ad8373923023;
done

ну вы поняли ...

1.8, arisu (ok), 07:12, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
какой сложный способ сказать: «не доверяйте криптореализациям с закрытым кодом!» как будто какое-то разумное существо этого до сих пор не знает.

2.9, Аноним (-), 07:36, 06/08/2014 [^] [^^] [^^^] [ответить]	+/–
А с открытым доверяй? Вы проверили уже исходники всего по которым пользуетесь?

3.10, Гост (?), 09:23, 06/08/2014 [^] [^^] [^^^] [ответить]	+4 +/–
Да, я проверил и доверяю. А у Вас с этим проблемы?

3.21, arisu (ok), 16:36, 06/08/2014 [^] [^^] [^^^] [ответить]	+1 +/–
> А с открытым доверяй? Вы проверили уже исходники всего по которым пользуетесь? зачем твои родители так сильно бухали перед тем, как тебя зачать?

2.15, Аноним (-), 10:44, 06/08/2014 [^] [^^] [^^^] [ответить]

+2 +/–

> какой сложный способ сказать: «не доверяйте криптореализациям с закрытым кодом!»

И главное всяким "фирменным алгоритмам" от неизвестных контор и самодеятелей.

3.28, Аноним (-), 19:59, 06/08/2014 [^] [^^] [^^^] [ответить]

+/–

>> какой сложный способ сказать: «не доверяйте криптореализациям с закрытым кодом!»
> И главное всяким "фирменным алгоритмам" от неизвестных контор и самодеятелей.

А от известных? PasswordSafe? Он, тaщeмтa, по алгоритму Брюса написан. М? Или RSA Data Security? М, чувак? Как насчет них?

1.20, YetAnotherOnanym (ok), 13:12, 06/08/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> изменив рекомендуемый стандартом набор констант можно добиться А изменив некоторые шаги самого алготитма, можно добиться ващще чего угодно.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: