В связи с выявлением (https://www.opennet.me/opennews/art.shtml?num=43124) новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, разработчики проекта Mozilla приняли решение (https://blog.mozilla.org/security/2015/10/20/continuing-to-p.../) изменить время прекращения поддержки SHA-1 в Firefox. Принимая во внимание то, что SHA-1 ещё достаточно активно используется в Сети, решено сместить срок прекращения поддержки SHA-1 в Firefox c 1 января 2017 года на 1 июля 2016 года. Таким образом, полное прекращение доверия к сертификатам, заверенным с использованием SHA-1, будет прекращено на полгода раньше намеченного срока. Вместо SHA-1 для формирования подписи рекомендуется использовать SHA-256, SHA-384 или SHA-512.URL: https://blog.mozilla.org/security/2015/10/20/continuing-to-p.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43172
Мы давно уже на Skein перешли
> Мы давно уже на Skein перешлиВ сертификатах-то? Чего не на ГОСТ?
Ну раз уже вы перешли, то теперь и IE может sha1 отключать.
Вот кто-нибудь может объяснить, подобранная последовательность байтов, которая даёт желаемое значение хэша, имеет хоть какое-то сходство с подменяемой полезной информацией, или атакующему для счастья достаточно, что, например, юзер вместо веб-страницы увидит бессмысленный набор символов?
Хэш строится по содержимому самого сертификата, а там достаточно полей, с содержимым которых можно "играться". Для шифрования содержимого веб-страниц используются короткоживущие сессионные ключи, которые не имеют никакого отношения к хэшам, используемым для подписи (заверения) сертификатов.
>используются короткоживущие сессионные ключи, которые не имеют никакого отношения к хэшам, используемым для подписи (заверения) сертификатов.Прямо так вот и никакого? По хешё проверяется серт., делается вывод о доверии к, по сертификату проверяется подпись сессионного ключа той стороной и делается вывод об успешной идентификации той стороны и успешности установления сессии. Ну, так, навскидку.
Если я правильно понимаю, то пока что речь даже не о подборе второго набора данных, у которого такой же хэш, как и у первого (коллизия первого рода), а об изготовлении сразу двух наборов данных, но с одинаковым хэшем (коллизия второго рода). Это, всё-таки, разные коллизии. У MD5 также начиналось. Научились делать сначала одновременно два набора данных, у которых хэш совпадает. Потом, вроде, научились делать коллизию у данных с одинаковым префиксом (отличие только в хвосте -- identical-prefix collision attacks). А, вот, чтобы научились по известному хэшу быстро подбирать второй набор данных, такое, не уверен, что и сделали, вообще.Соответственно, для SHA-1 сейчас речь идёт только о коллизиях второго рода.
> Научились делать сначала одновременно два набора данных, у которых хэш совпадает.Можно ссылку?
>подборе второго набора данных, у которого такой же хэш, как и у первогоЭто second-preimage attack в англоязычной литературе называется.
>А, вот, чтобы научились по известному хэшу быстро подбирать второй набор данных, такое, не уверен, что и сделали, вообще.
Не сделали, но оно и не надо. Вот пример практической атаки на сертификаты, подписанные MD5: https://www.trailofbits.com/resources/creating_a_rogue_ca_ce...
Догнать и перегнать! Ура, товарищи!
Диктор из-за кадра: "Мозилла заботится о Вас!" На экране клацает зубастая пасть ти-рекса.