s
Товарищи, практически возможно сгенерировать сертификат с подписью SHA-1 чтобы достичь коллизии? Или это всё еще из области фантастики?
Size: a a a
2020 September 23
s
Конечно, имеется ввиду, что один сертификат уже есть, и задача сгенерить другой с такой же подписью
S
Товарищи, практически возможно сгенерировать сертификат с подписью SHA-1 чтобы достичь коллизии? Или это всё еще из области фантастики?
s
Спасибо, я это видел. Там упоминается практическая атака на пдф, но не на цифровые сертификаты.
S
На уровне апи делай сам
Кстати sha1 разный бывает, раундов может быть разное количество
Кстати sha1 разный бывает, раундов может быть разное количество
S
В сертификат в теории можно положить паддинг
S
Но опять же, сертификаты разные бывают, если там есть что-то типа MDC, то не прокатит
s
Вопрос был в том, насколько вероятна эта атака. На практике, не в фантазиях) То что SHA1 не рекомендуется использовать — это и так понятно
NK
Світлана, експерт з інформаційної та кібербезпеки, провела ретельний аналіз впливу 5G. Цілком можливо, що наступного року вона виступить з докладом на відомій топовій конференції з практичної кібербезпеки.
A
😂
ГА
Конечно, имеется ввиду, что один сертификат уже есть, и задача сгенерить другой с такой же подписью
В лоб не получится. Задача решается другим способом. Плюс головняка добавляют цепочки. Вопрос стоит по конкретному, или сразу хочешь СА замутить? ))))
s
В лоб не получится. Задача решается другим способом. Плюс головняка добавляют цепочки. Вопрос стоит по конкретному, или сразу хочешь СА замутить? ))))
Да мне интересно хотя бы прецеденты найти такие, а то в статьях пишут мол "ну с сертификатами сложно, оно как бы возможно но вообще мы не знаем" :)
Собственно от этого зависит и вероятность такого сценария
Собственно от этого зависит и вероятность такого сценария
M
ID:0
Світлана, експерт з інформаційної та кібербезпеки, провела ретельний аналіз впливу 5G. Цілком можливо, що наступного року вона виступить з докладом на відомій топовій конференції з практичної кібербезпеки.
Над блогерами грішно сміятись...;)
Д
Над блогерами грішно сміятись...;)
Над такими блогерами, життя вже посміялось)
ГА
Да мне интересно хотя бы прецеденты найти такие, а то в статьях пишут мол "ну с сертификатами сложно, оно как бы возможно но вообще мы не знаем" :)
Собственно от этого зависит и вероятность такого сценария
Собственно от этого зависит и вероятность такого сценария
1. Действительно сложно.
2. Простого способа не существует (одной кнопкой с ноутбука).
3. Нужно понимать задачу и преследуемые цели.
4. Возможно.
О прикладном применении не буду ни подтверждать, ни опровергать.
2. Простого способа не существует (одной кнопкой с ноутбука).
3. Нужно понимать задачу и преследуемые цели.
4. Возможно.
О прикладном применении не буду ни подтверждать, ни опровергать.
S
Вопрос в том, что там используется в качестве HMAC и чем шифруется/подписывается сертификат
Вот это можно почитать
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-poddebniak.pdf
Заходить через тупо коллизию странно, и я бы сказал не особо эффективно. Надо смотреть на то, как обрабатываются данные, и нет ли там какой-нибудь возможности замены плейнтекста, например
Вот это можно почитать
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-poddebniak.pdf
Заходить через тупо коллизию странно, и я бы сказал не особо эффективно. Надо смотреть на то, как обрабатываются данные, и нет ли там какой-нибудь возможности замены плейнтекста, например
s
Александр и Sol de quarenta graus, благодарю, буду курить :)
MS
Над блогерами грішно сміятись...;)
как и над больными :)
а у нас еще не палили вышки во имя святой инквизиции?
а у нас еще не палили вышки во имя святой инквизиции?
GD
ппц, открыл по свежему Лазарузу, - там все на китайском нахер. И чо там смотреть, иоки?)
ты что не знаешь китацский?
AL
ID:0
Світлана, експерт з інформаційної та кібербезпеки, провела ретельний аналіз впливу 5G. Цілком можливо, що наступного року вона виступить з докладом на відомій топовій конференції з практичної кібербезпеки.
Ждём выступление 😂