Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Parece que SHA1 ha sido roto | Log in/Crear cuenta | Top | 65 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • Antes de que cunda el panico

    (Puntos:4, Informativo)
    por jonsy (219) <reversethis-{se.enilelet} {ta} {otisnoj}> el Miércoles, 16 Febrero de 2005, 12:33h (#446640)
    ( http://barrapunto.com/ )
    Hay que leer con detalle el artículo. Parece ser que la rotura no es tan grave ( es un decir ).

    La cosa es que si tienen un texto, se puede conseguir (con un poco de trabajo) otro texto que tenga el mismo hash

    Si no se tiene el texto original ( por ejemplo, en las passwords, donde se guarda solo el hash ), en lugar de tardar lo que dice la teoría, se tarda un poco menos. Pero se sigue tardando un huevo

    Por lo menos es lo que yo saco en claro: que el sha1 no es tan seguro como parecía, sino un poco menos.

    Salud

    .
    --
    Quosque tandem abutere Catilina Patientia nostra?
    Puntos de inicio:    4  puntos
    Modificador extra 'Informativo'   0  
    Total marcador:   4  

  • Re:Antes de que cunda el panico

    (Puntos:2, Informativo)
    por pobrecito hablador el Miércoles, 16 Febrero de 2005, 15:25h (#446799)
    por ejemplo, en las passwords, donde se guarda solo el hash

    Pero precisamente para las passwords nos basta con una simple colisión. Con que el SHA-1 de lo que metamos de el mismo resultado que la password, se nos permitiría el paso.
    [ Padre ]

  • Re:Antes de que cunda el panico

    (Puntos:5, Informativo)
    por KuKo (16807) el Miércoles, 16 Febrero de 2005, 15:35h (#446814)
    El problema basicamente reside en la firma digital, las cueles utilizan estos algoritmos hash (SHA-1, MD5, ...). Aqui es donde se podría hacer algo, porque junto a la firma suele estar el texto de donde se obtuvo dicha firma o resumen.

    En los passwords estamos igual de protegidos que antes, porque normalmente se supone que no conoces el hash del password y no tienes acceso a el, por lo que lo unico que queda es fuerza bruta, ataques de diccionario y demás tecnicas.

    Existen infinitos textos que pueden generar la misma firma, osea, existen infinitas colisiones. Lo normal sería que los textos generados carezcan de sentido, pero se puede jugar con textos que tengan algo de sentido y genere la misma firma.

    Aunque como bien dices, solo se ha reducido el tiempo maximo para generarlo, y aun así tiene un coste computacional bastante elevado.

    Por ejemplo, en el Kazaa muchos mp3 estan reventados por las discograficas. En otras redes p2p se utiliza una funcion hash la cual garantiza la integridad de los datos, pues bien, cualquiera podria crear un bloque (de = tamaño) que tenga la misma firma y colarlo como verdadero.

    Aunque por ahora no es tan grave, pero en un futuro puede ser que si. Y como siempre una solución para esto será modificar el algoritmo para subirle los bits de la firma.

    Saludos
    [ Padre ]