SHA-1 algoritme nog sneller gekraakt
In februari van dit jaar verscheen het bericht dat het SHA-1 hashing algoritme gekraakt was. Onderzoekers hebben nu een manier gevonden waardoor het veelgebruikte algoritme nog sneller gekraakt kan worden. Xiaoyun Wang, een van de Chinese onderzoekers die de eerdere aanval tegen SHA-0 en SHA-1 demonstreerde, heeft samen met Andrew Yao en Frances Yao een manier gevonden waardoor het algoritme in 263 operaties gekraakt kan worden, in plaats van de 269 operaties die eerst nodig waren. Een-weg hashing wordt gebruikt in veel applicaties, bijvoorbeeld voor het maken van checksums om bestanden te valideren, het maken van digitale certificaten, authenticatie en VPN security hardware. Bruce Schneier heeft meer informatie over de nieuwe aanval.
collisions (het vinden van 2 plaintexts met dezelfde
hash-waarde).
Het vinden van een plaintext bij een gegeven
hash-waarde of plaintext is moeilijker (want daarbij word je
niet geholpen door de birthday-paradox).
Een interessant comment van Bruce's pagina:
With a complexitiy of 2^{63}, SHA-1 is (currently!) about as
secure as MD5 should have been...
Dit is geen artikel voor Security.nl, het heeft NU een te
groot HYPE gehalte.
De kans dat dit in het wild gebeurt is 0,0
de BrulBaviaan
flip, dan duurt het nog 6743926919253758868 eeuwen.
mmm....
En moet nu iedereen bang zijn..... ?
Dit is geen artikel voor Security.nl, het heeft NU een te
groot HYPE gehalte.
De kans dat dit in het wild gebeurt is 0,0
de BrulBaviaan
Het is duidelijk je iets dieper in de crypto moet zitten om
de consequenties te overzien. Het is een grote ramp.
security. Dan kan het nog wel een hype zijn om weer een paar
exponentiele decimalen sneller te kraken is.
Ik vind het heel terecht dat dit nieuws is gepubliceerd!
psychologie -> vertrouwen.
zitten om
de consequenties te overzien. Het is een grote ramp.
We moeten inderdaad niet op onze luie reet gaan zitten en
tot in lengte van dagen SHA-1 blijven gebruiken. Maar ik heb
er alle vertrouwen in dat voordat SHA-1 zover gebroken is
dat het niet meer bruikbaar is voor de dingen waarvoor we
het vandaag de dag gebruiken, er allang betere alternatieven
zijn ontwikkeld. Dat is in het verleden namelijk ook keer op
keer zo geweest.
Een tekst met bijvoorbeeld zowel SHA-1 als MD5 ondertekenen
is eventueel een aardige workaround die je nu al kunt
toepassen. Voordat we twee plaintexten kunnen vinden die een
collision vormen voor beide hash-functies moet er nog
wel een en ander gebeuren.
zitten om
de consequenties te overzien. Het is een grote ramp.
We moeten inderdaad niet op onze luie reet gaan zitten en
tot in lengte van dagen SHA-1 blijven gebruiken. Maar ik heb
er alle vertrouwen in dat voordat SHA-1 zover gebroken is
dat het niet meer bruikbaar is voor de dingen waarvoor we
het vandaag de dag gebruiken, er allang betere alternatieven
zijn ontwikkeld. Dat is in het verleden namelijk ook keer op
keer zo geweest.
Een tekst met bijvoorbeeld zowel SHA-1 als MD5 ondertekenen
is eventueel een aardige workaround die je nu al kunt
toepassen. Voordat we twee plaintexten kunnen vinden die een
collision vormen voor beide hash-functies moet er nog
wel een en ander gebeuren.
Het hangt vooral af van de tijdsduur. Als je berichten 50
jaar wilt kunnen bewaren dan is het gebruik van SHA-1
misschien niet heel handig, als je berichten waarde hebben
voor een paar dagen, dan zou ik me er niet te veel zorgen
over maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.