linux user group brescia
immagine del castello

Archivio della mailing list

[Fwd: SHA-0 è morto]

andrea gelmini andrea.gelmini a lugbs.linux.it
Mar 26 Ott 2004 13:11:54 UTC 
On Sat, Oct 23, 2004 at 01:57:39PM +0200, Sergio Bevilacqua wrote:
> 
> tempo fa (si parla ormai di agosto), su una mailing-list di sicurezza, è
> stato pubblcato un post in cui nel subject si diceva, appunto, che SHA-0
> è MORTO! oggi se ne sa qualcosina di più... più che altro solo in questi
> giorni ho smesso di rimandare la ricerca di notizie...
drinkwater, ma sei anche convinto del cumulo di cazzate che scrivi?
la dimostrazione della realizzazione di una collisione per lo md5 e lo sha0
e' stata dimostrata al pubblico in una conferenza in Cina.
la parte impressionante e' che il tutto viene calcolato a mano/mente.

> per i meno tecnici... SHA-0 è un algoritmo di hashing, abbastanza
> utilizzato fino a un po' di tempo fa. ultimamente sta lasciando il posto
> a SHA-1, ma anche lui non è che se la passi molto bene. SHA-0 è stato
> praticamente forzato, per cui da un hash è possibile tornare indietro.
no, no, no, no.
forzare un sistema di hashing significa poter replicare/creare agevolmente
delle collisioni (inevitabili nel momento in cui cerchi di identificare
univocamente un insieme di bit, utilizzandone un numero inferiore/finito).

gelma a cogno:~$ md5sum /var/mail/gelma
922e00a33b126e5f54f7c70b62368b59  /var/mail/gelma

stando a quanto scrivi, ora, dovresti essere in grado di risalire al
contenuto della mia mailbox.

> per quanto riguarda SHA-1 e MD5, pare che qualcuno ci sia QUASI riuscito
> con una versione ridotta dell'algoritmo. il problema, a questo punto, è
quasi riuscito significa che non ci e' riuscito? (tipo: ieri mi sono quasi
scopato Vivian... ovvero, ieri non mi sono scopato Vivian (e' giustizia
questa?))
comunque, md5 e sha0 sono vulnerabili, mentre sha1 no (almeno fino a quando
invece di dirlo non lo dimostreranno (in realta' la questione e' un pelo
diversa, comunque non e' il caso qui di affrontarla)).

> capire come e quando si riuscirà ad applicare il processo all'algoritmo
> "vero". per come vanno le cose, in questi casi, è slo questione di
> tempo: solitamente le cattive notizie non fanno altro che precedere le
> notizie disastrose...
si', e' il numero di cazzate "per sentito dire" e' sempre in aumento.


drinkwater, non prenderla sul personale,[1] ma sarebbe bastato leggere
quattro articoli seri (del milione pubblicati da questa estate sul web),
per evitare di sparare bestialita'.

alla prossima birrata ti offro da bere, cosi' non mi spacchi i maroni.

ciao,
gelma


---------
[1] anche se concordo con il parere del ghido

Maggiori informazioni sulla lista Lug