Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Sha-1 Сдаёт Позиции: В Google Смогли Получить Первую Коллизию Sha-1

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,071
Баллы
155
Возраст
51
Хеши играют важную роль в безопасности браузера, управлении репозиториями с кодом и даже распознавании дублирующихся файлов. Хеш-функции сжимают огромные количества данных в небольшие строки. Одно из требований к методам шифрования гласит, что поиск двух сообщений, которые одинаково выглядят в зашифрованном виде, должен быть невозможным. Однако со временем это требование может быть нарушено, либо из-за вывода теоретического способа его обхода, либо из-за повышения вычислительных мощностей систем.

Сейчас, спустя 10 лет после появления SHA-1, Google

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

практический способ создания коллизии. Это результат двух лет совместных исследований

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

и поискового гиганта.

Google настаивала на упразднении SHA-1 в течение нескольких лет, особенно в контексте

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Еще в 2014 году команда Chrome

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о прекращении использования SHA-1. Google надеется, что данные предупреждения наконец-то убедят IT-компании в необходимости перехода к более безопасным альтернативам вроде SHA-256.

Что такое «коллизия криптографического хеша»?



Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



Коллизия происходит, когда два независимых файла, будь то документы, бинарные файлы или сертификаты сайтов, в результате хеширования выглядят одинаково, как показано на рисунке выше. На практике коллизии защищённых хеш-функций происходить не должны. Однако, если в хеш-алгоритме присутствуют уязвимости, а в SHA-1 они есть, то появляется возможность создать коллизию. Затем взломщики могут использовать полученную коллизию для подмены файла его заражённым «двойником».

И как найти коллизию SHA-1?


Для этого Google создала

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

определённого формата, содержимое которого различается, но в зашифрованном виде выглядит одинаково. Однако практический этап реализации куда сложнее теоретического. Стоит отметить, что это одна из самых сложных вычислительных операций, произведённых компанией.

Предоставляем вам цифры, которые дадут вам представление о том, насколько масштабными были подсчеты:

  • 9 квинтиллионов (9 223 372 036 854 775 808) вычислений хешей SHA-1;
  • 6500 лет вычислений на центральном процессоре для завершения первой фазы атаки;
  • 110 лет вычислений на графическом процессоре для завершения второй фазы.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



Несмотря на то, что цифры выглядят очень большими, такая SHA-1 атака в 100 000 раз быстрее брутфорс-атаки.

Как уменьшить риск такой атаки?


Специалистам по безопасности стоит перейти на более надёжные алгоритмы, например, SHA-256 и SHA-3. Через 90 дней Google выложит код, который позволит каждому создать пару одинаковых PDF-файлов, имеющих одинаковые хеш-суммы. Для защиты от таких атак Google встроила систему распознавания PDF-коллизий в Gmail и GSuite. Кроме того, компания предоставила всем желающим открытый доступ к

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх