By lew Founder on Tag: NIST, Hash, Security, Cryptography
NIST

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม

กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993

By lew Founder on Tag: Security, Hash
Security

Nicky Mouha นักวิจัยกระบวนการเข้ารหัสลับรายงานถึงช่องโหว่ buffer overflow ในฟังก์ชั่นแฮช SHA-3 ของไลบรารี XKCP ซึ่งเป็นไลบรารีดั้งเดิมของทีมงานออกแบบกระบวนการแฮช Keccak และเสนอเข้าแข่งขัน SHA-3 จนชนะเป็นมาตรฐาน

ช่องโหว่นี้อาศัยการเรียกฟังก์ชั่นแฮช SHA-3 ด้วยข้อมูลขนาด 4GB จนซอฟต์แวร์ภายในเกิด integer overflow ความน่ากังวลของช่องโหว่นี้คือโค้ดถูกเขียนตั้งแต่ปี 2011 และมีการตรวจสอบจากหลายคนในช่วงแข่งขันเลือก SHA-3 และโค้ดนี้ถูกนำไปใช้ในไลบรารีจำนวนมาก

By nismod Writer on Tag: Windows, Microsoft, Encryption, Hash, Cryptography
Windows

กระบวนการอัพเดตวินโดวส์ในปัจจุบันรองรับค่าแฮชทั้ง SHA-1 และ SHA-2 หากใช้วินโดวส์รุ่นเก่าอย่าง Windows 7 SP1, Windows Server 2008 R2 SP1 และ Windows Server 2008 SP2 ที่ไม่รองรับ SHA-2 ก็จะได้อัพเดตที่ยืนยันความถูกต้องของไฟล์อัพเดตด้วยการเซ็นยืนยันโค้ดแบบ SHA-1

By lew Founder on Tag: Subversion, WebKit, Hash
Subversion

โครงการช่วงหลังเริ่มหันมาใช้ Git กันมากขึ้นแต่โครงการจำนวนมากก็ยังคงใช้ Subversion กันเป็นปกติ ปรากฎว่าการโจมตี SHAttered ที่สร้างไฟล์ที่ค่าแฮชตรงกันสร้างความเสียหายได้มากกว่าที่คิด เมื่อมันสามารถทำฐานข้อมูล Subversion พังได้ทันทีเพียงแค่เช็คอินสองไฟล์ที่ค่าแฮชตรงกันเข้าไป

By lew Founder on Tag: Hash, Cryptography
Hash

รายงาน SHAttered ที่สามารถสร้างไฟล์สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จทำให้โครงการต่างๆ ที่อาศัย SHA-1 เป็นแกนกลางต้องพิจารณาความปลอดภัยกันใหม่ โครงการหลักๆ สองโครงการคือ Git และ GPG ก็ออกมาชี้แจงแล้ว

By lew Founder on Tag: Hash, Cryptography, Google
Hash

ค่าแฮช SHA-1 มีรายงานว่ามีช่องโหว่จนอ่อนแอกว่าที่ออกแบบไว้อย่างมาก มานานหลายปี โดยกูเกิลประกาศให้ใบรับรองที่รับรองโดย SHA-1 ไม่ปลอดภัยมาตั้งแต่ปี 2014 แต่จนกระทั่งวันนี้ก็ยังไม่มีใครปลอมไฟล์ที่มีค่าแฮช SHA-1 ตรงกันได้จริงๆ ล่าสุดทีมวิจัยร่วมระหว่างมหาวิทยาลัยอัมสเตอร์ดัม และ Google Research ก็สามารถสร้างไฟล์ PDF สองไฟล์ที่ค่าแฮชตรงกันได้สำเร็จ โดยใช้ชื่อกระบวนการปลอมไฟล์นี้ว่า SHAttered

By lew Founder on Tag: Security, Hash
Security

คอมพิวเตอร์ควันตัมสามารถประมวลผลข้อมูลบางรูปแบบได้เร็วกว่าคอมพิวเตอร์ทุกวันนี้เป็นอย่างมากทำให้กระบวนการเข้ารหัสที่เคยปลอดภัยในทุกวันนี้อาจจะใช้งานไม่ได้อีกต่อไป รายงานจากแคนาดาพยายามประเมินเวลาในการคำนวณหาข้อมูลที่ได้ค่าแฮชตามกำหนด (preimage attack)

By lew Founder on Tag: Security, Hash
Security

hashcat โปแกรมแกะรหัสผ่านจากค่าแฮชประกาศโอเพนซอร์สให้คนนำไปใช้งานต่อได้ โดยใช้สัญญาอนุญาตแบบ MIT ทำให้คนที่นำไปใช้ต่อมีอิสระแทบทุกอย่าง

ผู้ดูแลโครงการระบุว่าก่อนหน้านี้เคยพิจารณาจะเปิดซอร์สของ hashcat มาแล้วหลายครั้ง แต่ติดปัญหาเช่นผู้ใช้บางส่วนติดสัญญาไม่เปิดเผยข้อมูล ขณะเดียวกันการเปิดซอร์สก็จะทำให้โครงการ hashcat ใช้ทรัพยากรโอเพนซอร์สได้อีกมาก เช่นโครงการ GPG การตัดสินใจครั้งล่าสุดมาจากการอิมพลีเมนต์เคอร์เนล DES GPU ที่จำเป็นต้องคอมไพล์ค่า salt เข้าไปในโค้ดเพื่อรีดประสิทธิภาพสูงสุด

By lew Founder on Tag: Security, Open Standard, Cryptography, IETF, Hash
Security

BLAKE2 เป็นอัลกอริทึมแฮชที่เข้าแข่งขันให้เป็นมาตรฐาน SHA-3 ของ NIST (องค์กรมาตรฐานทางเทคโนโลยีของสหรัฐฯ) และเข้ารอบไปถึงรอบสุดท้ายที่อัลกอริทึมเข้ารอบ 5 อัลกอริทึม แม้สุดท้าย Keccak จะเป็นผู้ชนะได้เป็นมาตรฐาน SHA-3 แต่ผู้สร้าง BLAKE2 ก็เสนอให้เป็นมาตรฐานทางเลือกหนึ่งของ IETF

กระบวนการเสนอมาตรฐานมีการเสนอมาตั้งแต่ต้นปีที่ผ่านมา ตอนนี้เอกสารก็ตีพิมพ์เป็น RFC7693 เรียบร้อยแล้ว

Subscribe to Hash