アカウント名:
パスワード:
リンク先のPDF、ほんとにSHA-1一致するな。しかも、内容もランダムデータでなく、意味のあるデータになっているのはすごい。
当然ながらCRC-32は一致しないな。いくつものハッシュを組み合わせるのはダメなんだろうか、とふと思った。・・・まあ、それができるぐらいならSHA-1を捨てればいいか。
ハッシュを組み合わせても強度はほとんど上がらない。MD5 + SHA-1では8ビット程度しか強度が上がらないそうだ。それどころか下手に組み合わせると弱くなるおそれすらある。どうしてそういうことが起こりうるのかについてはスラドの過去記事を参照 [srad.jp]。素直に暗号の専門家が設計したハッシュを使っておけ。
MD5ハッシュとSHA1ハッシュの併記という意味で、混合ではないのでは?
そして記事についてだけど。ハッシュについての話でブルートフォース攻撃って何よ?鍵関係ないじゃん。
次の中からブルートフォース攻撃を選べ(5点)1) 英数記号の組み合わせを生成し、ログインサーバに対して送信することで他人のアカウントでログインした。2) パスワードがハッシュ値で記録されたアカウント情報を入手したので、英数記号の組み合わせを生成し、記録されているハッシュ値と同じになる値を見つけた。2-1) そのようにして見つけたパスワードを使用して、他人のアカウントでログインした。3) 取得したZIPファイルがパスワードで暗号化されていたので、英数記号の組み合わせを生成して解読した。 (パスワードが正しいことの判定は、復号後のファイルのハッシュ値が正しいことで行う)4) 昔作成したZIPファイルがパスワードで暗号化されていたので、英数記号の組み合わせを生成して解読した。5) 文書を改竄したがハッシュ値を用いたシステムで署名されていたので、文書に挿入することで改竄前のハッシュ値と同一となるようなダミーデータを総当りで探索した。6) ハッシュ値が同一となるメッセージは現実的には生成不能であることを安全性の根拠とするシステムへの攻撃を目的として、メッセージに埋め込んだダミーデータを総当りで変化させ、同一のハッシュ値をもつメッセージを生成した。7) メッセージに埋め込んだダミーデータを総当りで変化させ、同一のハッシュ値をもつメッセージを生成した。
8) アームが弱いので台パンした
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
ほんとに一致する (スコア:1)
リンク先のPDF、ほんとにSHA-1一致するな。
しかも、内容もランダムデータでなく、意味のあるデータになっているのはすごい。
当然ながらCRC-32は一致しないな。
いくつものハッシュを組み合わせるのはダメなんだろうか、とふと思った。
・・・まあ、それができるぐらいならSHA-1を捨てればいいか。
Re: (スコア:0)
ハッシュを組み合わせても強度はほとんど上がらない。MD5 + SHA-1では8ビット程度しか強度が上がらないそうだ。
それどころか下手に組み合わせると弱くなるおそれすらある。どうしてそういうことが起こりうるのかについてはスラドの過去記事を参照 [srad.jp]。
素直に暗号の専門家が設計したハッシュを使っておけ。
Re: (スコア:0)
MD5ハッシュとSHA1ハッシュの併記という意味で、混合ではないのでは?
そして記事についてだけど。
ハッシュについての話でブルートフォース攻撃って何よ?鍵関係ないじゃん。
Re:ほんとに一致する (スコア:0)
次の中からブルートフォース攻撃を選べ(5点)
1) 英数記号の組み合わせを生成し、ログインサーバに対して送信することで他人のアカウントでログインした。
2) パスワードがハッシュ値で記録されたアカウント情報を入手したので、英数記号の組み合わせを生成し、記録されているハッシュ値と同じになる値を見つけた。
2-1) そのようにして見つけたパスワードを使用して、他人のアカウントでログインした。
3) 取得したZIPファイルがパスワードで暗号化されていたので、英数記号の組み合わせを生成して解読した。
(パスワードが正しいことの判定は、復号後のファイルのハッシュ値が正しいことで行う)
4) 昔作成したZIPファイルがパスワードで暗号化されていたので、英数記号の組み合わせを生成して解読した。
5) 文書を改竄したがハッシュ値を用いたシステムで署名されていたので、文書に挿入することで改竄前のハッシュ値と同一となるようなダミーデータを総当りで探索した。
6) ハッシュ値が同一となるメッセージは現実的には生成不能であることを安全性の根拠とするシステムへの攻撃を目的として、メッセージに埋め込んだダミーデータを総当りで変化させ、同一のハッシュ値をもつメッセージを生成した。
7) メッセージに埋め込んだダミーデータを総当りで変化させ、同一のハッシュ値をもつメッセージを生成した。
Re: (スコア:0)
8) アームが弱いので台パンした