RE: [linux] Stránka venovaná shrnutí útoku na hašovací funkce MD5, SHA-0 a spol. (fwd)

Peter Gubis Peter.Gubis na damovo.com
Čtvrtek Srpen 26 13:45:04 CEST 2004 

myslim, ze na zahashovane hesla to nema vplyv.
na sessions uz vobec (teda zalezi, co si pod sessions predstavujes)

ide hlavne o moznost podstrcenia "falosneho" dokumentu pri podpisovani md5 hashu (hashom)

ak som to teda dobre pochopil.

pg.

-----Original Message-----
From: linux-bounces na lists.linux.sk [mailto:linux-bounces na lists.linux.sk] On Behalf Of Marek Podmaka
Sent: 26. augusta 2004 12:05
To: linux na lists.linux.sk
Subject: [linux] Stránka venovaná shrnutí útoku na hašovací funkce MD5, SHA-0 a spol. (fwd)



Co to znamena pre pouzitie MD5 vo webovych aplikaciach napr. pri sessions? 
A ako hashovacia funkcia na hesla v db?

-- 
   bYE, Marki

---------- Forwarded message ----------
Date: Wed, 25 Aug 2004 14:08:30 +0200
From: "[iso-8859-2] Vlastimil Klíma" <Klima na lec.cz>
Reply-To: security na underground.cz
To: security na underground.cz
Subject: [iso-8859-2] Stránka věnovaná shrnutí útoků na hašo[iso-8859-2]
    vací funkce MD5, SHA-0 a spol.

Předposlední srpnový týden byl špatným týdnem pro hašovací fukce a dobrým pro kryptoanalytiky, kteří dosáhli neočekávaných vědeckých úspěchů. Definitivně byly prolomeny MD4, MD5, RIPEMD a HAVAL-128 [1] a byly nalezeny nové obecnější techniky hledání slabin iterativních hašovacích funkcí, což jsou právě všechny důležité současné hašovací funkce. Výsledkem je trochu mrazení v zádech, zda tyto moderní hašovací funkce a zejména převládající SHA-1 ustojí tyto techniky a na nich založené útoky. Dobrou zprávou je, že zatím je vše v pořádku, tj. SHA-1 a novější třída funkcí SHA-256, SHA-512, SHA-384 a SHA-224 (souhrnně jsou označovány jako třída SHA-2) zůstávají bezpečné. Další dobrou zprávou je, že funkce HMAC, používající MD5, tj. HMAC-MD5, nemusí být v některých případech vyměňovány a že HMAC v kombinaci s funkcemi SHA-1 nebo třídou SHA-2 zůstávají také bezpečné. Celý text naleznete na stránce, věnované tomuto problému: http://cryptography.hyperlink.cz/2004/kolize_hash.htm.
Vlastimil Klíma

-- 
Odchozí zpráva neobsahuje viry.
Zkontrolováno Antivirovým systémem AVG (http://www.grisoft.cz).
Verze: 7.0.262 / Virová báze: 264.7.0 - datum vydání: 24.8.2004
 

_______________________________________________
http://lists.linux.sk/listinfo/linux
Prehladavanie archivu: http://search.lists.linux.sk
Meta FAQ: http://faq.lists.linux.sk

Další informace o konferenci linux