OpenForum RSS: Представлен более эффективный метод определения префиксов ко... https://opennet.dev/openforum/vsluhforumID3/117346.html Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) разработали (https://eprint.iacr.org/2019/459) усовершенствованный метод атаки (https://eprint.iacr.org/2019/459.pdf) на алгоритм SHA-1, существенно упрощающий создание двух разных документов с одинаковыми хэшами SHA-1. Суть метода в сведении операции полноценного подбора коллизии в SHA-1 к коллизионной атаке с заданным префиксом, при которой для существующих данных можно подобрать определённые дополнения, при которых для общего набора возникает коллизия. Иными словами, для двух существующих документов можно вычислить два дополнения, и если одно присоединить к первому документу, а другое ко второму - результирующие хэши SHA-1 для этих файлов будут одинаковы.<br><br>Данный вид атаки всё ещё требует огромных вычислений и подбор дополнений остаётся сложнее, чем обычный подбор коллизий, но и практическая эффективность результата существенно выше. Если до си Представлен более эффективный метод определения префиксов ко... (Annoynymous) https://opennet.dev/openforum/vsluhforumID3/117346.html#88 Tue, 21 May 2019 09:56:20 GMT &gt; Максимальный у hash=значение, но его легко подделать :) <br><br>Максимальный у Hash&gt;&gt;значение, но он нахрен не нужен :-)<br> Представлен более эффективный метод определения префиксов ко... (КО) https://opennet.dev/openforum/vsluhforumID3/117346.html#87 Thu, 16 May 2019 14:55:39 GMT Максимальный у hash=значение, но его легко подделать :)<br> Представлен более эффективный метод определения префиксов ко... (OpenEcho) https://opennet.dev/openforum/vsluhforumID3/117346.html#86 Wed, 15 May 2019 23:50:59 GMT &gt; Тот же ssh печатает фингерпринт ключа сервера при первом соединении, чтобы ручками <br>&gt; его потом на сервере проверить, а мы про pgp разговариваем.<br><br>В одной конторе где я раньше работал, за игнор перепроверять фингерпринт SSH - просто увольняли.<br><br>&gt; Много ли таких людей кто сверяет? А в случае с виртуальными машинами <br>&gt; и их клонами, многие ли перегенерировали хост ключи? Новость даже такая <br>&gt; была.<br><br>Вот это самый главный вопрос !!!<br><br>Не понимание элементарного механизма в технологиях криптографии просто исключает сам смысл этих технологий.<br><br>Банально все сводится - "а я как у всех"... грустно...<br><br> Представлен более эффективный метод определения префиксов ко... (Sw00p aka Jerom) https://opennet.dev/openforum/vsluhforumID3/117346.html#85 Wed, 15 May 2019 22:55:25 GMT Тот же ssh печатает фингерпринт ключа сервера при первом соединении, чтобы ручками его потом на сервере проверить, а мы про pgp разговариваем. Много ли таких людей кто сверяет? А в случае с виртуальными машинами и их клонами, многие ли перегенерировали хост ключи? Новость даже такая была. <br><br> Представлен более эффективный метод определения префиксов ко... (OpenEcho) https://opennet.dev/openforum/vsluhforumID3/117346.html#84 Wed, 15 May 2019 21:29:01 GMT &gt; Там, вроде как, не про GitHub была речь, а про qwerty123-подобное поведение <br>&gt; конечных пользователей и тупо публикацию своих логинов-паролей.<br><br>Предыдущий себеседник, приводил пример, что если персона аутефицирована, то автоматом можно верить его ключам. Я привел пример, что в случае как на гитхабе - это не работает.<br><br>&gt; При такой культуре IT никакая технологий не поможет защитить данные.<br><br>Не совсем, если бы PGP ключи использовались так же как в SSL, то потеря логина/пароля к эккаунту не позволила бы нарушения целостности подписаного проекта.<br><br><br>&gt; А даже если бы утекали пароли из базы GitHub-а (что вряд ли), <br>&gt; то они поддерживают двух-факторную авторизацию (в том числе по всяким Trezor-ам). <br><br>2FA авторизация тоже не панацея, уже была масса взломов эккаутов защищенных 2FA.<br>В общей массе 2FA привязывают к телефону и в случае его компроментации все накрывается ... ну вы знаете чем.<br><br>&gt;&gt; Где эта самая достоверность в PGP/GPG ?<br>&gt; После того, как публичный ключ был аутентифицирован по сторонним канала Представлен более эффективный метод определения префиксов ко... (OpenEcho) https://opennet.dev/openforum/vsluhforumID3/117346.html#83 Wed, 15 May 2019 20:12:41 GMT &gt;подразумевалось в смысле использования PGP при шифровании писем.<br><br>Если соблюдается элементарная процедура сравнивания фингерпринта ключей между кореспондентами то проблем с PGP шифровкой нет. <br><br>Я же говорю о массом применении PGP в Git, в подписях операционных систем и пакетов и т.к. далее, где практически доверия ключам нет, т.к. большинство людей не знают тех, кто стоит за этими ключами. Мы просто верим на слово, что ключи и правда принадлежат хозяевам.<br> Представлен более эффективный метод определения префиксов ко... (Sw00p aka Jerom) https://opennet.dev/openforum/vsluhforumID3/117346.html#82 Wed, 15 May 2019 19:11:25 GMT "другому коментатору" - вам, сорян<br><br><br> Представлен более эффективный метод определения префиксов ко... (Sw00p aka Jerom) https://opennet.dev/openforum/vsluhforumID3/117346.html#81 Wed, 15 May 2019 19:09:23 GMT &gt; Вы видели людей, которые перед установкой redis звонят в проект и докапываются кто подписал пакет и сверяют с неизвестным X фингерпринт?<br><br>нет конечно, как ответил ниже другому коментатору, подразумевалось в смысле использования PGP при шифровании писем.<br><br><br><br> Представлен более эффективный метод определения префиксов ко... (GentooBoy) https://opennet.dev/openforum/vsluhforumID3/117346.html#80 Wed, 15 May 2019 18:04:32 GMT Не практически любая, а любая<br>