"SHA-1 algoritme in principe gekraakt"
Cryptografische experts hebben tijdens de Crypto 2006 conferentie een aanval gedemonstreerd tegen een aangepaste variant van het SHA-1 hash algoritme. Door de nieuwe methode is het voor de eerste keer mogelijk om een deel van het bericht zelf te selecteren. Voorgaande aanvallen, zoals die van de Chinese onderzoeker Xiaoyun Wang, konden alleen verschillende hash twins van dezelfde lengte vinden, die beiden uit onleesbare tekst bestonden.
Hoewel de demonstratie alleen beperkt was tot de SHA-1 variant in 64 stappen, kan het volgens de experts ook gebruikt worden voor een aanval op de standaard 80 stappen variant. Dit betekent dat SHA-1 in principe als gekraakt moet worden beschouwd.
Christian Rechberger, die de aanval met zijn collega Christophe De Cannière ontwikkelde, liet weten dat een kwart van tekst vrijelijk geselecteerd kan worden. De overige 75% wordt bepaalt door de aanval. Door het optimaliseren van de aanval zou men echter meer tekst moeten kunnen selecteren. De nieuwe aanval betekent dat aanvallen tegen de kleinere SHA-1 variant op hetzelfde niveau zitten als aanvallen tegen het oude MD5 alogritme. De voorheen succesvolste aanval, die van Wang, was niet bruikbaar, omdat de gevonden hash twins altijd onleesbaar waren.
SHA-1 is nog altijd, ondanks de ontwikkeling van nieuwe aanvallen, het meest gebruikte algoritme. Hoewel de nieuwe aanvalsmethode nog voor de normale SHA-1 standaard geimplementeerd moet worden, is het tijd dat er een opvolger komt, zo gaat Heise verder.
Is md5 al gekraakt?
gepresenteerd die kwetsbaarheden in MD5, RIPEMD en
dergelijken blootlegden.
niet (tenzij er een implementationale fout is), die kun je
hoogstens aanvallen met brute kracht of collision, of er
moet inderdaad een algorithmisch defect zijn.
onveilig het nu in de praktijk is blijft een vraag. Hoe lang
heeft iemand die hier verstand van heeft nodig om de hash
echt te kunnen omzeilen?
dat ze misbruikbaar zijn is ook aangetoond (zelfs met
documenten die grotendeels gestructureerd zijn).
algoritmes? D.w.z. de tijd tussen het op de markt komen van het algoritme
tot aan de dag waarop het algoritme (in theorie) gekraakt is.
e.d aanbevolen wordt moet men beschouwen als gekraakt door
de NSA.
Is er ergens een lijstje met de levensduur van de verschillende
algoritmes? D.w.z. de tijd tussen het op de markt komen van
het algoritme
tot aan de dag waarop het algoritme (in theorie) gekraakt
is.
je kunt er hooguit een afleiden van de tijd die het kost om
het te bruteforcen t.o.v. moore's law. Zwakheden in een
algoritme moeten gevonden worden en dat kan heel snel zijn,
maar ook heel lang duren, daar is niets over te zeggen.
md5 is iig al tijden passe, en sha-1 staat op zijn laatste
beentjes (ook voor dit verhaal al).
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.