Billede: google

Googles sikkerhedsafdeling har fremvist det første eksempel på en kollision i SHA-1 krypteringen.

En kollision for hash-algoritmer er en teoretisk mulighed for at skabe to filer, der får den samme hash-værdi. Dvs. at to forskellige input giver det samme output - eks. to filer der giver den samme hashværdi.

Det handler derfor om at sansynligheden for at det sker skal være så urealistisk som muligt, og at det ikke må være muligt at fremprovokere en kollision ved at kende en given fils hashværdi og regne sig frem til en anden fils der så får samme hashværdi.

Årsagen til at dette er et problem er at hashværdien bruges til kryptografisk bekræftelse for at eks. dokumenter der sendes, ikke er blevet intercepted og ændret. Hvis kollision er muligt og fremprovokation kan beregnes, vil man i teorien kunne intercepte et givent dokument sendt over en sikker forbindelse, ændre i det og matche hashværdien - og dermed snyde sikkerheden.

I 2013 blev der fremsat en teoretisk mulighed for kollisioner i SHA-1, og nu har Google demonstreret at det kan lade sig gøre i praksis.

» Læs mere   |   Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1239

Billede: Flavio Takemoto, FreeImages.com

Sanriotown.com, der er det officielle online community for Hello Kitto samt andre Sanrioejede karakterer, er blevet hacket, og 3,3 millioner kontoer er blevet lagt online.

Informationerne dækker over for- og efternavne, fødselsdage, fødselslande, køn og e-mailadresser - samt kodeord uden salts gemt i SHA-1 hash, password hints spørgsmål og svar og andre data.

Kontoerne stammer også fra hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th og mymelody.com.

Alle med kontoer på en hvilken som helst af disse sider, opfordres til at ændre deres kodeord omgående, samt på alle andre sider hvor de har brugt samme kodeord. Desuden anbefales det at monitorere sin konto, hvis denne har været sat op sammen med login'et.

Kompromitteringen skete den 22. november, så hackerne har haft informationerne i tæt på en måned nu.

Redaktør: jakobdam   |   Indsendt af: jakobdam   |   1   |   1813

Billede: Flavio Takemoto, FreeImages.com

En af de mest kendte og benyttede kryptografiske algoritmer, er SHA-1 (Secure Hash Algorithm 1).

Allerede i 2005 fandt cryptoanalytikere angreb på SHA-1, der tydede på at algoritmen ikke var til at sikre ting på sigt.

Alle store browsere har haft planlagt at stoppe med at acceptere SHA-1-baserede signaturer fra januar 2017, men en ny undersøgelse fra forskere fra Wiskunde & Informatica i Holland, Inria i Frankrig og Nanyang Technological University fra Singapore, tyder på at SHA-1 vil blive brudt allerede inden årets udgang.

Dette kan potentielt set være katastrofalt, idet mere end 28% af verdens digitale certifikater benytter SHA-1.

Den tidligere advarsel fra 2012, lød nemlig på at real-workd kollissionsangreb på SHA-1, først ville kunne betale sig i 2018. Dette var baseret på estimatet at det ville koste $ 700.000 dollars at udføre et direkte kollissionsangreb på SHA-1 i 2015, og blot $ 173.000 dollars i 2018. Hvor førstnævnte beløb er højt selv for interessegrupper indenfor hackere, så vurderes sidstnævnte beløb til at være indenfor deres rækkevidde.

Men baseret på undersøgelsen af forskere fra de 3 universiteter, vurderes det at sådan et angreb kan financieres i år, for mellem $ 75.000 dollars og $ 120.000 dollars. Årsagen hertil er at forskerne har opdaget en måde hvorpå grafikkort kan bruge teknikken "boomeranging", for at finde SHA-1 kollissioner.

Redaktør: jakobdam   |   Indsendt af: thimon   |   0   |   1640