Mogelijk ernstige lekken in security algoritmes ontdekt
Er zijn mogelijk ernstige lekken in verschillende security algoritmes ontdekt waardoor aanvallers digitale handtekeningen kunnen vervalsen of achterdeurtjes in computercode kunnen bouwen. Afgelopen donderdag maakte de Franse computergeleerde Antoine Joux bekend dat hij een lek in het populaire MD5 algoritme had ontdekt. Dit algoritme wordt vaak bij digitale handtekeningen gebruikt. Hierna kwamen vier Chinese onderzoekers met een rapport waarmee een tweede algoritme, SHA-0, omzeild kon worden. Hoewel hun resultaten nog niet bevestigd zijn, kunnen de ontdekkingen ernstige consequenties hebben. Alsof het nog niet genoeg was kwamen Eli Biham en Rafi Chen van het Israelische instituur voor technologie met het nieuws dat ze begonnen zijn met het vinden van lekken in het SHA-1 algoritme, waarvan werd aangenomen dat het veilig was, zo gaat dit artikel verder.
security algoritme != hash algoritme
tijd kosten om sites weer veilig te maken.....
aan de vondst van Joux is dat hij een wiskundige methode
gevonden heeft om MD5 aan te vallen. En dat is een
daadwerkelijk probleem.
Het zelfde wordt geclaimd door de Chinese onderzoekers... ze
hebben een wiskundige manier gevonden om SHA-0 aan te
vallen, en dat is toch wel behoorlijk scary. Want van SHA-0
naar SHA-1 is maar een kleine stap...
Blegh.... Ik hoop niet dat dat van die MD5 klopt, want dat gaat me veel te veel
tijd kosten om sites weer veilig te maken.....
zelfs maar minuutjes MD5 gerelateerde delen kraakt. Hangt ook af van hoe je
het gebruikt. Het komt er op neer dat er een dubbele waarde gegenererd kan
worden in een paar uur tijd. Het is dus niet direct kritiek. Tijd genoeg
voorlopig om over te stappen op een andere hash.
Het lag ook in de lijn der verwachting: algorithmes verouderen ook na een
aantal jaren. Dat MD5 en SHA-0 en SHA-1 nu langzaam op hun einde zijn
was dus te voorspellen.
te kraken!
Ik vind het erg knap van die gasten die het doen, maar ik wil ze wel aanraden
om een keertje uit te gaan oid.
Ik vind het erg knap van die gasten die het doen, maar ik
wil ze wel aanraden
om een keertje uit te gaan oid.
MD5 is al een tijdje kwetsbaar voor brute force, maar nieuw
aan de vondst van Joux is dat hij een wiskundige methode
gevonden heeft om MD5 aan te vallen. En dat is een
daadwerkelijk probleem.
Het zelfde wordt geclaimd door de Chinese onderzoekers... ze
hebben een wiskundige manier gevonden om SHA-0 aan te
vallen, en dat is toch wel behoorlijk scary. Want van SHA-0
naar SHA-1 is maar een kleine stap...
Volgens mij is die stap niet zo klein toch?
Om een collision te vinden is 1 ding, maar is het nu te doen met een
betekenisvolle uitkomst?
SHA-0 duidelijk waren?
Werd SHA-1 niet vlak naar SHA-0 uitgebracht omdat toen al
zwakheden in
SHA-0 duidelijk waren?
</sarcasme>
Maar het gaat voorlopig om maar 1 collision en zelfs als
deze rekenkundig zijn aan te tonen, veel applicaties zullen
er niet gaan breken: als je niet weet welke hash wordt
opgeslagen weet je ook niet welke collision je moet gaan
forceren; dus blijft het helaas voor de skiddies net zo
brute-force'n als voorheen. :P
Werd SHA-1 niet vlak naar SHA-0 uitgebracht omdat toen al
zwakheden in
SHA-0 duidelijk waren?
</sarcasme>
Maar het gaat voorlopig om maar 1 collision en zelfs als
deze rekenkundig zijn aan te tonen, veel applicaties zullen
er niet gaan breken: als je niet weet welke hash wordt
opgeslagen weet je ook niet welke collision je moet gaan
forceren; dus blijft het helaas voor de skiddies net zo
brute-force'n als voorheen. :P
Ik denk zowiezo niet dat dit voer voor skiddies is. Van SHA-0 werd verwacht
dat er aanval op mogelijk was, maar een goede was nog niet daadwerkelijk
aangetoond. De expansie in SHA-1 moet een dergelijke aanval tegengaan.
Het is niet waarschijnlijk dat SHA-1 nu is gebroken.
Die opmerking over 1024 en 2048 is een grapje neem ik aan? Anders heb je
er weinig van begrepen.
MD5 is al een tijdje kwetsbaar voor brute force
Diepe Zucht.
Noem eens een algorithme wat niet gevoelig is voor brute
force attacks?
Riskant. Jezelf slimmer voordoen dan je bent.
MD5 is al een tijdje kwetsbaar voor brute force
Diepe Zucht.
Noem eens een algorithme wat niet gevoelig is voor brute
force attacks?
Riskant. Jezelf slimmer voordoen dan je bent.
Ik weet het niet hoor, maar 't lijkt me dat de auteur gewoon bedoelde dat er
eerder aanvallen op MD5 zijn gepubliceerd met een in orde lagere
complexiteit dan puur brute force.
Nederlands is geen formele taal, je hebt een beetje last van ambiguiteit dus
moet je begrijpend lezen. Dat valt niet mee voor iedereen.
totdat SSL niet meer veilig is.
Erg theoretisch nog allemaal
MD5 is al een tijdje kwetsbaar voor brute force
Diepe Zucht.
Noem eens een algorithme wat niet gevoelig is voor brute
force attacks?
Nee hoor. Er is namelijk een behoorlijk verschil tussen
brute force in theorie, waar ieder algoritme kwetsbaar voor
is, en brute force in de praktijk. Voorbeeldje: toen DES
bedacht werd was het al kwetsbaar voor een brute force
attack, maar nog maar een paar jaar terug was het technisch
gewoon niet haalbaar om DES te brute forcen. Imiddels is dat
wel het geval.
Snap je het nu?
Riskant. Jezelf slimmer voordoen dan je bent.
terwijl je me niet kent, een inschatting maken van mijn
intelligentie?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
