SHA-1 algoritme nog sneller gekraakt
In februari van dit jaar verscheen het bericht dat het SHA-1 hashing algoritme gekraakt was. Onderzoekers hebben nu een manier gevonden waardoor het veelgebruikte algoritme nog sneller gekraakt kan worden. Xiaoyun Wang, een van de Chinese onderzoekers die de eerdere aanval tegen SHA-0 en SHA-1 demonstreerde, heeft samen met Andrew Yao en Frances Yao een manier gevonden waardoor het algoritme in 263 operaties gekraakt kan worden, in plaats van de 269 operaties die eerst nodig waren. Een-weg hashing wordt gebruikt in veel applicaties, bijvoorbeeld voor het maken van checksums om bestanden te valideren, het maken van digitale certificaten, authenticatie en VPN security hardware. Bruce Schneier heeft meer informatie over de nieuwe aanval.
collisions (het vinden van 2 plaintexts met dezelfde
hash-waarde).
Het vinden van een plaintext bij een gegeven
hash-waarde of plaintext is moeilijker (want daarbij word je
niet geholpen door de birthday-paradox).
Een interessant comment van Bruce's pagina:
With a complexitiy of 2^{63}, SHA-1 is (currently!) about as
secure as MD5 should have been...
Dit is geen artikel voor Security.nl, het heeft NU een te
groot HYPE gehalte.
De kans dat dit in het wild gebeurt is 0,0
de BrulBaviaan
flip, dan duurt het nog 6743926919253758868 eeuwen.
mmm....
En moet nu iedereen bang zijn..... ?
Dit is geen artikel voor Security.nl, het heeft NU een te
groot HYPE gehalte.
De kans dat dit in het wild gebeurt is 0,0
de BrulBaviaan
Het is duidelijk je iets dieper in de crypto moet zitten om
de consequenties te overzien. Het is een grote ramp.
security. Dan kan het nog wel een hype zijn om weer een paar
exponentiele decimalen sneller te kraken is.
Ik vind het heel terecht dat dit nieuws is gepubliceerd!
psychologie -> vertrouwen.
zitten om
de consequenties te overzien. Het is een grote ramp.
We moeten inderdaad niet op onze luie reet gaan zitten en
tot in lengte van dagen SHA-1 blijven gebruiken. Maar ik heb
er alle vertrouwen in dat voordat SHA-1 zover gebroken is
dat het niet meer bruikbaar is voor de dingen waarvoor we
het vandaag de dag gebruiken, er allang betere alternatieven
zijn ontwikkeld. Dat is in het verleden namelijk ook keer op
keer zo geweest.
Een tekst met bijvoorbeeld zowel SHA-1 als MD5 ondertekenen
is eventueel een aardige workaround die je nu al kunt
toepassen. Voordat we twee plaintexten kunnen vinden die een
collision vormen voor beide hash-functies moet er nog
wel een en ander gebeuren.
zitten om
de consequenties te overzien. Het is een grote ramp.
We moeten inderdaad niet op onze luie reet gaan zitten en
tot in lengte van dagen SHA-1 blijven gebruiken. Maar ik heb
er alle vertrouwen in dat voordat SHA-1 zover gebroken is
dat het niet meer bruikbaar is voor de dingen waarvoor we
het vandaag de dag gebruiken, er allang betere alternatieven
zijn ontwikkeld. Dat is in het verleden namelijk ook keer op
keer zo geweest.
Een tekst met bijvoorbeeld zowel SHA-1 als MD5 ondertekenen
is eventueel een aardige workaround die je nu al kunt
toepassen. Voordat we twee plaintexten kunnen vinden die een
collision vormen voor beide hash-functies moet er nog
wel een en ander gebeuren.
Het hangt vooral af van de tijdsduur. Als je berichten 50
jaar wilt kunnen bewaren dan is het gebruik van SHA-1
misschien niet heel handig, als je berichten waarde hebben
voor een paar dagen, dan zou ik me er niet te veel zorgen
over maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
