В то время как цифровые подписи на основе MD5 уже практически не используются в серверных сертификатах, MD5 по-прежнему продолжает применяться в системах аутентификации клиента, в том числе при использовании протоколов TLS 1.2, SSH и IKE/IPsec, в которых до сих пор считалось невозможным практическое применение методов, связанных с поиском коллизий. Исследователи из французского института INRIA (https://ru.wikipedia.org/wiki/INRIA) разработали пригодную для практического применения серию атак SLOTH (http://www.mitls.org/pages/attacks/SLOTH), нацеленных на поражение систем аутентификации, использующих подверженные коллизиям алгоритмы хэширования.Из областей применения атак называются системы аутентификации клиентов, применяемые в некоторых банках и web-сервисах для подтверждения полномочий подключения пользователя к сайту или виртуальной частной сети. Если в процессе аутентификации в таких системах клиент и сервер поддерживают цифровые подписи RSA-MD5, то SLOTH позволяет атакующему выдать себя за аутентифицированного пользователя, предварительно перенаправленного на подконтрольный злоумышленникам сервер (MITM-атака). В процессе совершения атаки инициируется откат TLS-соедиения на использование MD5-хэшей, после чего на исходный сервер и клиенту отправляются специально оформленные подставные сообщения, снабжённые хэшем MD5, совпадающим с хэшем отправленных пользователем сообщений. На подбор коллизии для MD5 требуется выполнить примерно 5.75 миллиардов вычислений, что на 48-ядерном сервере занимают около часа.
<center><a href="http://www.mitls.org/i/tls-client-auth-mitm.png"><... src="https://www.opennet.me/opennews/pics_base/0_1452373904.png&q... style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
Практические сценарии атак предлагаются для RSA-MD5 в TLS 1.2, HMAC-MD5 в IKEv1, RSA-SHA1 или DSA-SHA1 в IKEv2, при этом атаки на MD5 вполне реалистичны, в то время как атаки на SHA-1 пока рассматриваются только в теории из-за значительных затрат на поиск коллизии (подбор коллизии для SHA-1 занимает (https://www.opennet.me/opennews/art.shtml?num=43124) около трех месяцев на кластере из 512 GPU). Атака может применяться и для SHA-1 в SSH 2, но для инициирования отката на менее защищённые алгоритмы в процессе согласования ключей.
В качестве главного вывода, исследователи указывают на то, что продолжение применения MD5 и SHA1 в находящихся в обиходе криптографических протоколах значительно уменьшает их защищённость и делает потенциально подверженными практически осуществимым атакам на ключевые механизмы протоколов. Кроме того, требуется по возможности избегать использования урезанных хэшей и MAC-ов в протоколах обмена ключами. После публикации результатов исследования, развивающая TLS рабочая группа уже приняла решение удалить из спецификации TLS 1.3 поддержку цифровых подписей RSA-MD5 и урезанных хэшей HMAC. Пользователям TLS 1.2 предлагается в настройках отключить применение MD5 в цифровых подписях.
В соответствии с ноябрьскими результатами (https://securitypitfalls.wordpress.com/2015/12/07/november-2... сканирования сети, около 30% HTTPS-серверов поддерживают цифровые подписи RSA-MD5. Из клиентского ПО цифровые подписи RSA-MD5 принимаются, отправляются и анонсируются в реализациях TLS в Java (SunJSSE), NSS (до 3.21), BouncyCastle, PolarSSL/mbedTLS (до 2.2.1), GnuTLS (до 3.3.15) и OpenSSL (до 1.0.1f).
Обновления пакетов с OpenSSL, NSS и GnuTLS с устранением проблемы (CVE-2015-7575) на днях доставлены пользователям RHEL (https://rhn.redhat.com/errata/RHSA-2016-0008.html), &nb... (https://lists.centos.org/pipermail/centos-announce/2016-Janu... Ubuntu (http://www.ubuntu.com/usn/) и Debian (https://lists.debian.org/debian-security-announce/2016/msg00.... Проблема также устранена в Firefox 43 и GnuTLS 3.3.15 (http://www.gnutls.org/security.html).
URL: http://arstechnica.com/security/2016/01/fatally-weak-md5-fun.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43649
Про SHA-1: Текущую скорость вычислений (3 месяца) поделим на закон Мура и получим 1,5 месяца через 2 года или 0,75 месяца через 4 года.
Вопрос: Через какое количество лет скорость подбора SHA-1 будет равна текущей скорости подбора MD5?
Закон Мура сдох. Как и сдохнут все остальные гуманитарные "законы".
он эмпирический на экономической основе.
"количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца"
не работает дядя, айды почини.
Значит надо внести какой-то такой корректив: "эффективность интегральной схемы увеличивается эквивалентно удвоению в ней количества транзисторов каждые 24 месяца".
Или в таком варианте оно тоже работать не будет?
Винда медленно? Скачай у нас, чтобы исправить!
в мат расчётах не бывает предсказаний - тока ожидания и вероятности.
Закон Мура не работает. Сочувствую.
дебил, эмпирический закон не имеет предсказательной силы.
Если только он не является самосбывающимся пророчеством. В данном конкретном случае, Интел форсирует его выполнение уже в контексте производительности, поскольку факт что они выполняют этот "двухлетний план" уже на протяжении 50 лет, является важной составляющей их капитализации.
TL;DR Акционеры спасибо не скажут, если вдруг производители чипов не будут этот закон выполнять.
А мне вот очень интересно откуда в интернете такое количество идиотов, придумывающих всякую ахинею про закон мура.
Из педивикии что ли лезете?
Интересно как они с HMAC-MD5 провернули, там же вроде только полный перебор брутфорсом.
Что-то я не понял. В какой-то момент у клиента на час должна подвиснуть аутентификация, а он должен этого не заметить?
Не все же нищеброды с 48-ми ядерным сервером, есть нормальные ребята из АНБ, у них этого гуталину просто завались, так что за пару секунд переберут.
Час это максимум, т.е. при не удачном стечении обстоятельств (бит) его подберут за 60 минут. В среднем же будет 30 минут (кому то будут подбирать сразу, кому то через 60 мин.).Если поставить 360 серверов, то максимум будет за 10 секунд, среднее 5 сек. Пользователь на старте сайта может подождать и 5 секунд и 10-ть.
А используя 360 серверов поточным образом злоумышленники смогут маскироваться под ВАЛИТДНЫЙ сайт и проводить MITM. Поточным образом значит MITM-ить до 17 280 сессий в сутки.
10-есять, позорище
То, что вы описали - это grid-вычисления.
Основным минусом grid-вычислений, как и тем более SSI
(https://en.wikipedia.org/wiki/OpenSSI)
это накладные расходы на синхронизацию действий и
латентность операций по синхронизации.
Последний упомянутый проект туда и уперся, судя по всему.
(Сейчас сам слежу за развитием OpenMP/OpenCL.)
Так что, на мой взгляд ни о каких 5-15 секундах не может быть и речи.
Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной атакующему - разве это не обломает подборы коллизий?
> Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной
> атакующему - разве это не обломает подборы коллизий?Соль используют для паролей и т.п ,чтобы атакующий не смог по заранее подобранным (сгенерированным ) таблицам отыскать пароль (расшифровать ) .Здесь же расшифровывать нечего не надо ,с использованием коллизий генерируется подложный сертификат или ключ чтобы выглидел достоверным .
Не обломает, особенно если соль известна.
Сотрите их, чтоб не мучались??
Соль надо выдавать на каждую сессию, тогда клиент будет использовать разные хеши. Это не проблемма, но как и везде что нибудь где нибудь вылезает - в этом случае сервер должен хранить нешифрованные пароли.
