Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Для программистов и разработчиков » Криптография и защита информации
Страницы: 1 2 След.
RSS
Функции хеширования
 
#1
Это нравится:0Да/0Нет
17.06.2005 22:15:02
Интерсная и довольно новая тема - хеширование, в частности - функции хеширования.
Они сравнительно новое изобретение человека. И, как у каждой новой разработке, есть свои минусы.
Предлагаю поговорить по поводу использования хеш-функций в современном мире с учетом своих минусов, при том, что некоторые из них являются государственным стандартом.
 
 
 
#2
Это нравится:0Да/0Нет
18.06.2005 18:51:17
Хеширование, не знаю надо говорить про какие-то конкретные стандарты, а затем уже пойжет разговор!
 
 
 
#3
Это нравится:0Да/0Нет
20.06.2005 16:29:56
Давайте самый популярный ныне алгоритм обсудим - sha1. Насколько я знаю ему уже подмочили репутацию китайцы, совсем недавно.
 
 
 
#4
Это нравится:0Да/0Нет
20.06.2005 17:07:33
Цитата
Vyacheslav пишет:
Давайте самый популярный ныне алгоритм обсудим - sha1. Насколько я знаю ему уже подмочили репутацию китайцы, совсем недавно.
Извини этот алгоритм уже является взломаным точнее его версия номер 1, я сам лично пробывал, поэтому давай поговорим про его другие более обновленные версии.
 
 
 
#5
Это нравится:0Да/0Нет
20.06.2005 17:28:23
Вот и расскажи, как его пробил, тема то для этого и создана. Нам то же интересно. Насколько мне известно, алгоритьм sha1 хоть и взломан, но уж не так, что бы за пару дней на обычном компе поломать. Мне есть что написать из своих размышлений. По поводу sha256 и т.д. у меня информации нет, но скорее всего отличие его от 1-й версии только в разрядности, может еще в чет то, но уже не очень существенном, иначе бы назывался иначе. Но я не утверждаю, просто не знаю если честно.
 
 
 
#6
Это нравится:0Да/0Нет
21.06.2005 12:07:26
Окей буду рассказывать, дело в том, что при передачи хешированного текста, в нем есть ошибка по которой можно узнать количество символов в пароли и дальше можно уже делать предположения, это обусловлено тем. что полученные хешированных данных превышает количество оригинального текста. Вообщем если интересно могу рассказать подробно и посоветтовать пару программ.
 
 
 
#7
Это нравится:0Да/0Нет
21.06.2005 17:44:22
Цитата
это обусловлено тем. что полученные хешированных данных превышает количество оригинального текста
Вы имеете ввиду хеширование коротких фраз или единичных слов?
Цитата
В общем если интересно могу рассказать подробно и посоветовать пару программ.
Конечно интересно, расскажите.
 
 
 
#8
Это нравится:0Да/0Нет
22.06.2005 03:50:41
мне казалось что у сха1 другие траблы, а именно при заявленной теоретической стойкости в 2^-160 ее реальная криптостойкость - 2^-40 что и позволяет безо всяких изобретений ломать пароли брутфорсом.
 
 
 
#9
Это нравится:0Да/0Нет
22.06.2005 18:34:10
http://www.pgpru.com/forum/viewtopic.php?t=564 - 3 страницы
http://www.pgpru.com/forum/viewtopic.php?t=858
http://www.pgpru.com/forum/viewtopic.php?t=947
Посмотрите эти сылки

По выше приведенной  нформации  я извлек, что криптосктойкость sha1 равноа 2 в 69 степени. Это на пределе современных вычислительных мощностей. Думаю супер компьютеру нужно будет потратить месяцы для взлома. что скажете?

Цитата
мне казалось что у сха1 другие траблы, а именно при заявленной теоретической стойкости в 2^160
Из теории вероятности можно полагать, что естественную коллизию для sha1 можно найти при за 2 в 80 операций. Нашли же ее за 2 в 69 операций, о чем уже написано в приведенных ссылках. Откуда Вы взяли данные о 2в 40?
Цитата
Окей буду рассказывать
Syntax, нам интересно, расскажите что знаете Вы.
 
 
 
#10
Это нравится:0Да/0Нет
22.06.2005 19:06:31
Цитата
Vyacheslav пишет:

Цитата
мне казалось что у сха1 другие траблы, а именно при заявленной теоретической стойкости в 2^160
Из теории вероятности можно полагать, что естественную коллизию для sha1 можно найти при за 2 в 80 операций.
Это откуда следует?
 
 
 
#11
Это нравится:0Да/0Нет
23.06.2005 12:40:05
С сайта www.pgpru.com
Цитата
Парадокс "дней рождений" и стойкость PGP

Как отмечалось в описании хэш-функций, кроме корреляции между длиной свёртки и устойчивостью алгоритма к коллизиям существует один важный нюанс. Он проистекает из так называемого парадокса дней рождений, часто используемого в математической статистике. Ответьте, сколько человек должно собраться в одной комнате, чтобы с вероятностью более 1/2 хотя бы у одного из них был бы общий с вами день рождения? Ответ – 253. А сколько людей должно собраться, чтобы с той же вероятностью хотя бы у двоих из них был общий день рождения? Ответ поразителен – 23, поскольку, если в комнате находятся 23 человека, они образуют 253 различные пары.

Этот же принцип применяется для поиска коллизий хэш-функций. При использовании MD5, чтобы изготовить поддельное сообщение, производящее дайджест заданного, нужно перебрать максимум 2 в 128 вариантов. Но чтобы изготовить два сообщения, производящих одно хэш-значение, нужно перебрать максимум 2 в 64 вариантов, что вполне реально. Добавляя слово "максимум" я подразумеваю, что исходя из теории вероятности искомый результат с 50-процентным успехом будет найден уже после проверки 2 в 63 вариантов при поиске пары с идентичным хэш-значением. Проблема всей современной криптографии – это отсутствие нижней границы стойкости; длина ключа задаёт лишь общий объём пространства ключей, но всегда есть вероятность ткнув пальцем в небо угадать решение. Вот почему настоятельно рекомендуется перейти к новым версиям PGP использующим SHA1 как основной алгоритм односторонней хэш-функции.
О sha1 было написано еще до ее взлома. Сейчас PGP может использовать 2-ю версию sha.
 
 
 
#12
Это нравится:0Да/0Нет
23.06.2005 18:57:49
Цитата
Vyacheslav пишет:
С сайта www.pgpru.com
Цитата
Парадокс "дней рождений" и стойкость PGP

Как отмечалось в описании хэш-функций, кроме корреляции между длиной свёртки и устойчивостью алгоритма к коллизиям существует один важный нюанс. Он проистекает из так называемого парадокса дней рождений, часто используемого в математической статистике. Ответьте, сколько человек должно собраться в одной комнате, чтобы с вероятностью более 1/2 хотя бы у одного из них был бы общий с вами день рождения? Ответ – 253. А сколько людей должно собраться, чтобы с той же вероятностью хотя бы у двоих из них был общий день рождения? Ответ поразителен – 23, поскольку, если в комнате находятся 23 человека, они образуют 253 различные пары.

Этот же принцип применяется для поиска коллизий хэш-функций. При использовании MD5, чтобы изготовить поддельное сообщение, производящее дайджест заданного, нужно перебрать максимум 2 в 128 вариантов. Но чтобы изготовить два сообщения, производящих одно хэш-значение, нужно перебрать максимум 2 в 64 вариантов, что вполне реально. Добавляя слово "максимум" я подразумеваю, что исходя из теории вероятности искомый результат с 50-процентным успехом будет найден уже после проверки 2 в 63 вариантов при поиске пары с идентичным хэш-значением. Проблема всей современной криптографии – это отсутствие нижней границы стойкости; длина ключа задаёт лишь общий объём пространства ключей, но всегда есть вероятность ткнув пальцем в небо угадать решение. Вот почему настоятельно рекомендуется перейти к новым версиям PGP использующим SHA1 как основной алгоритм односторонней хэш-функции.
О sha1 было написано еще до ее взлома. Сейчас PGP может использовать 2-ю версию sha.
Ну и?
Тут русским языком написано:
Цитата

При использовании MD5, чтобы изготовить поддельное сообщение, производящее дайджест заданного, нужно перебрать максимум 2 в 128 вариантов.
Таким образом, с 50% вероятностью мы найдем поддельное сообщение, производящее дайджест заданного (а не просто 2 сообщения с одинаковыми дайджестами) за 2^127 простых переборов.
 
 
 
#13
Это нравится:0Да/0Нет
23.06.2005 19:43:52
Вам интереснее вникнуть в тему и развить ее, или просто как бы опровергнуть и ладно?
Знаете, когда в ботинках лопается первый шов, это значит, что через неделю подошва отлетит и вовсе.
Зачем говорят о парадоксе дней рождения? Не писали бы и ладно. Это теоретические работы, имеющие прямое прикладное использование на период ближайшего будущего.
У любой хеш-функции есть естественные коллизии, и если такую коллизию находят ранее, чем следуя теории парадоксов дней рождения, значит хеш-функция не стойкая, значит найдена брешь, которую тут же начинают шевелить дальше. Никто уже не даст Вам гарантий, что через небольшое время цифра 2^127 не превратиться в 2^90, а после и в 2^60 например. А впрочем выбор за каждым конкретным пользователем, можете и md5 использовать, 2^127 цифра превеликая.
И потом я писал о естественной коллизии, а не о дайджесте заданного сообщения. Вы спросили, я привел информацию.
С уважением.
 
 
 
#14
Это нравится:0Да/0Нет
23.06.2005 20:43:53
Цитата
Vyacheslav пишет:
Вам интереснее вникнуть в тему и развить ее, или просто как бы опровергнуть и ладно?
Знаете, когда в ботинках лопается первый шов, это значит, что через неделю подошва отлетит и вовсе.
Зачем говорят о парадоксе дней рождения? Не писали бы и ладно.
Какой парадокс? Не смешите мои тапочки. Простая статистика  и теория вероятностей.
Ответ 253 находится так:
1-(1-1/365)^x=0.5 =>
1-(364/365)^x=0.5 =>
-(364/365)^x=-0.5 =>
x*ln(364/365)=ln(0.5) =>
x=ln(0.5)/ln(364/365) = 252.7

А с парами нужно найти к-во человек, которое даст нам 253 перестановки:
x*(x-1)/2=253
x^2-x-506=0
Решаем квадратное уравнение :)
D=2025 => x1 = 23, x2<0 и нам не подходит.

Цитата
Vyacheslav пишет:

Это теоретические работы, имеющие прямое прикладное использование на период ближайшего будущего.
У любой хеш-функции есть естественные коллизии, и если такую коллизию находят ранее, чем следуя теории парадоксов дней рождения, значит хеш-функция не стойкая, значит найдена брешь, которую тут же начинают шевелить дальше. Никто уже не даст Вам гарантий, что через небольшое время цифра 2^127 не превратиться в 2^90, а после и в 2^60 например. А впрочем выбор за каждым конкретным пользователем, можете и md5 использовать, 2^127 цифра превеликая.
И потом я писал о естественной коллизии, а не о дайджесте заданного сообщения. Вы спросили, я привел информацию.
С уважением.
Я не говорю, что криптостойкость MD5 соответствует 2^128. Я лишь говорю, что ты совершенно безосновательно сократил показатель степени в двое. Даже приведенная тобой в оправдание ссылка этого не объясняет.
 
 
 
#15
Это нравится:0Да/0Нет
24.06.2005 01:23:23
Фсе же естественная вероятность коллизии у sha1 имхо куда выше, чем 2^-80. Dоказать это я не могу, но при неоднократном тестировании [UDC] у меня получилось следующее
100 000 различных хеш-значений,
[диапазоны перебора и генерации хеш-значений не пересекаются]
перебираю 1 000 000 000 ключей, получаю 1-2 коллизии.
то есть вероятность коллизии порядка 2^-47
 
 
 
#16
Это нравится:0Да/0Нет
25.06.2005 10:21:05
To Michael.

Добрый день.
Вот так бывает, к человеку с уважением, а он тычить начинает. Я ранее считал, что админ в общении с участниками форума должен быть примером вежливости и корректности. Вполне ценю Ваши математические способности, только думаю, что слово «парадокс» применено совсем не потому, что до Вас этой формулы никто вывести не смог, и Вы судя по всему это прекрасно понимаете. И не Вы этот термин ввели в обиход, так что расскажите Вашим тапочкам, держащимся за животики, более грустную историю.
Теперь по делу:
Вы похоже прочитали не то, что написано, а то что хотели прочитать. Повторюсь. Я написал, что естественная коллизия стойкой хеш-функции находится не ранее, чем за количество проверок 2^(N/2), где N – разрядность выходного блока hash-функции. И если это не так, то ищите новую хеш-функцию, вот в этом акцент, это я хотел сказать.

Цитата
У Б.Шнайера опубликовано.

February 15, 2005
SHA-1 Broken
SHA-1 has been broken. Not a reduced-round version. Not a simplified version.
The real thing.

The research team of Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu (mostly from
Shandong University in China) have been quietly circulating a paper announcing
their results:
collisions in the the full SHA-1 in 2**69 hash operations, much less than the brute-force attack of 2**80 operations based on the hash length.
collisions in SHA-0 in 2**39 operations.
collisions in 58-round SHA-1 in 2**33 operations.
This attack builds on previous attacks on SHA-0 and SHA-1, and is a major,
major cryptanalytic result. It pretty much puts a bullet into SHA-1 as a hash
function for digital signatures (although it doesnt affect applications such
as HMAC where collisions arent important).
The paper isnt generally available yet. At this point I cant tell if the
attack is real, but the paper looks good and this is a reputable research
team.
More details when I have them.

Хотите спорить дальше - спорьте со Шнайером, надеюсь эта фамилия в представлении не нуждается.

p/s хотелось на обсуждение опубликовать свои скромные мысли об устройстве hash-функций, теперь желание пропало.
 
 
 
#17
Это нравится:0Да/0Нет
25.06.2005 15:09:02
Ребята существуют программы которые анализируя пакеты передаваемые по данному протоколу могут предпологать длину пароля, в следующий раз напишу где взять!
 
 
 
#18
Это нравится:0Да/0Нет
26.06.2005 00:29:10
2 Vyacheslav:
Спорить не хочу (вообще не люблю это дело).
Прошу прощения за тыканье.
Знаете ли, привык с форумчанами на ты. Вроде как все свои.
Я на работе даже к гендиректору на "ты" обращаюсь.
 
 
 
#19
Это нравится:0Да/0Нет
26.06.2005 05:13:18
2 Michael
Все в порядке. Я возможно то же погарячился, не поняли друг друга.
 
 
 
#20
Это нравится:0Да/0Нет
26.06.2005 22:26:23
Вообщем мужики мы отклонились от темы, давайте уже раздербанем протокол SHA-1, в следующий раз я напишу какими прогами это можно зделать, я предлагаю перейти к протоколу SHA-2.
 
 
 
Страницы: 1 2 След.
Читают тему