Рубрика «sha-1» - 2

Линус Торвальс высказался о коллизиях SHA-1 в репозиториях Git: бояться нечего - 1Несколько дней назад сотрудники компании Google и Центра математики и информатики в Амстердаме представили первый алгоритм генерации коллизий для SHA-1. За десять лет существования SHA-1 не было известно ни об одном практическом способе генерировать документы с таким же хешем SHA-1 и цифровой подписью, как в другом документе, но теперь такая возможность появилась.

Хеш-функция SHA-1 используется повсеместно, поэтому известие о генерации документов с идентичным хешей вызвало естественную обеспокоенность у пользователей. В том числе у пользователей системы управления версиями Git, в которой тоже используются хеши SHA-1. Развёрнутый ответ на эти опасения дал Линус Торвальс. Если вкратце, то бояться нечего.
Читать полностью »

Security Week 08: SHA-1 точно всё, уязвимости в роутерах TP-Link, кроссплатформенный ботнет с кодом Mirai - 1Британские ученые доказали, что алгоритму криптографического хеширования SHA-1 точно настал конец. Как-то так вышло, что этой истории я кажется посвятил наибольшее количество упоминаний в дайджестах, возможно из-за того, что с криптографией не шутят: она либо работает, либо нет. Напомню, о чем идет речь: в конце 2015 года команда исследователей из университетов Голландии, Сингапура и Франции опубликовала доклад, в котором поделилась новыми идеями оптимизации алгоритма поиска коллизий при использовании SHA-1. По той оценке реальную атаку можно было провести примерно за 49 дней, потратив на облачные вычислительные мощности около 75000 долларов.

Коллизия — это когда два разных объекта имеют один хеш. Если алгоритм SHA-1 используется для идентификации объекта, то появляется возможность «подсунуть» иной объект так, что «по документам» он будет идентичен оригиналу. И речь идет даже не о взломе шифрованной переписки, хотя SHA-1 по-прежнему довольно активно используется в криптографии. «Объекты» могут быть документами, сертификатами для идентификации определенного сервера: подмена в данном случае открывает широкий простор для кибератак.

Но этот простор — теоретический: подтвердить уязвимость на практике стоит дорого. На этой неделе команда исследователей из Google и голландского CWI Institute сообщили, что они, таки да, смогли (новость, минисайт проекта).
Читать полностью »

Первый способ генерации коллизий для SHA-1 - 1

Коллизии существуют для большинства хеш-функций, но для самых хороших из них количество коллизий близко к теоретическому минимуму. Например, за десять лет с момента изобретения SHA-1 не было известно ни об одном практическом способе генерации коллизий. Теперь такой есть. Сегодня первый алгоритм генерации коллизий для SHA-1 представили сотрудники компании Google и Центра математики и информатики в Амстердаме.

Вот доказательство: два документа PDF с разным содержимым, но одинаковыми цифровыми подписями SHA-1.

Читать полностью »

Security Week 03: закат SHA-1 продолжается, баг или фича в Whatsapp, уязвимости в роутерах не чинятся - 1SHA-1 — все. Или нет? Следить за развитием событий вокруг этого алгоритма хеширования легко и приятно: несмотря на очевидную серьезность проблемы, она остается малоприменимой для практических атак, как минимум — массовых. Впервые я упоминал о SHA-1 в дайджесте аж от октября 2015 года. Проблемы с ним появились из-за того, что вычислительные ресурсы подешевели несколько быстрее, чем ожидалось. Эксперт по криптографии Брюс Шнайер в 2012 году предрекал, что через три года для создания коллизии при генерации хэшей потребуется 11 лет вычислений на условном сервере. Три года прошли, и выяснилось, что на самом деле (за счет развития технологий параллельных вычислений, и благодаря новым исследованиям в области криптографии) этот срок значительно меньше — всего 49 дней.

Так как хеширование с помощью SHA-1 используется в весьма ответственных операциях, например при установке защищенного соединения с веб-сайтами, разработчики софта довольно оперативно начали делиться планами по выводу ненадежного алгоритма из эксплуатации. Начиная с 24 января (для Firefox, для других браузеров чуть позже) посещение сайта, не поддерживающего более стойкий алгоритм SHA-2 (обычно модификации SHA-256), будет приводить к разнообразным угрожающим предупреждениям у пользователей.
Читать полностью »

Farewell SHA-1Курс на убирание поддержки потенциально небезопасного алгоритма криптографического хеширования SHA-1, взятый компанией Google, обрел окончательные черты в опубликованном в блоге по безопасности компании плане прекращения поддержки алгоритма SHA-1. Информация об этом публиковалась и ранее, однако сейчас, судя по всему, мы узнаем окончательные сроки и подробности, каким образом Google видит процесс искоренения поддержки SHA-1.
Читать полностью »

image

Вчера состоялся выход новой версии Tor Browser – 6.0. В новой версии исправлено много недочётов, в том числе устранена возможность подмены DLL во время работы установщика программы. Браузер теперь использует поисковую выдачу системы DuckDuckGo и больше не поддерживает сертификаты SHA-1.

Tor Browser уже довольно давно использует для анонимного поиска систему Disconnect. Это сервис для обеспечения сетевой приватности — он, среди прочего, предлагает услуги VPN и анонимного поиска.

Раньше поиск в Disconnect работал как метапоисковик, выдавая комбинацию из поисковой выдачи разных поисковых систем. Но с недавнего времени Google запретил доступ метапоиска на свои сайты, и Disconnect переключился на работу с поисковиком Bing (желающие могут выбрать поиск Yahoo). По мнению разработчиков Tor, результаты поиска у Bing оставляют желать лучшего, поэтому они попросили разработчиков Disconnect переключиться на DuckDuckGo, который, по их словам, работает гораздо лучше.
Читать полностью »

Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft - 1

Не так давно корпорация Microsoft объявила о скором завершении поддержки TLS и SSL сертификатов, где используется алгоритм хэширования SHA-1. Перед этим аналогичное заявление сделало и руководство Mozilla. Сейчас и корпорация Google решила поступить таким же образом, прекратив поддержку SHA-1 до 1 января 2017 года.

Проблема состоит в том, что в ближайшем будущем не будет никаких проблем с подбором коллизий для такого алгоритма хэширования. Вычислительная техника становится все мощнее, облачные сервисы развиваются и подобная операция уже не будет слишком дорогой для злоумышленника. Сейчас корпорация Google уже начала помечать сайты с таким сертификатом как небезопасные.
Читать полностью »

Приветствуем вас на страницах блога iCover! Знаете ли вы, что в наступающем году десятки миллионов пользователей по всему миру могут столкнуться с проблемами при попытках доступа к самым популярным ресурсам, включая: Gmail, Google, Facebook, Microsoft и Twitter. И причина в том, что алгоритм криптографического хеширования SHA-1, обеспечивающий веб-безопасность на протяжении как минимум десятилетия, ускоренными темпами готовят на заслуженный отдых. Достойная замена морально устаревшей версии алгоритма – его следующее поколение SHA-2. О вероятных последствиях этого события для среднестатистического юзера мы расскажем в нашей статье.

Переход на новый алгоритм хеширования с начала 2016 года может осложнить пользователям доступ к популярным ресурсам - 1
Читать полностью »

Cообщение полугодовой давности о том, что в ближайшем будущем MS & Google будут считать некоторые сертификаты серверов «недоверенными». Как следствие, в браузерах сервер будет не «зелёненьким», а «красненьким», что совсем не понравится клиентам.

www.symantec.com/connect/blogs/google-s-sha-1-deprecation-plan-chrome

В частности, к проблемным сертификатам относятся сертификаты серверов с подписью SHA-1/SHA-2 у котороых промежуточный сертификат содержит SHA-1 (но рутовый CA может содержать SHA-1).
Читать полностью »

Почему вам надо обновить свои SSL сертификаты - 1

Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат».

Статья предназначена, в основном, для администраторов веб=серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js