Chinesa quebra algoritmo de segurança de dados

Será o fim do MD5 e do SHA-1? http://en.epochtimes.com/news/7-1-11/50336.html

Será o fim do MD5 e do SHA-1?

http://en.epochtimes.com/news/7-1-11/50336.html

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Bom, não foi por falta de aviso que o NSA e o NIST recomendavam usar SHA-192, 256, 384 e 512, mesmo antes desse anúncio.

O nome da sra. Wang (王小云

só usa ideogramas simples, daqueles que se aprendem no primeiro ou segundo ano. 王 = Wang (rei em português), 小 = pequeno, 云 = nuvem.)

Bem esta notícia me interessou muito, pois uso bastante MD5, e com isto andei a procura de uma solução melhor ao q eu encontrei um tal de:

RIPEMD-160

Achei muito interressante e creio q vou passar a usar este algoritimo.

As vatagens do RIPEMED é q é bem mais rapida, e muito segura, é uma combinação de uma encriptação dupla do MD4, gerando uma chave maior e muito mais segura, e rápida.

Achei este documento:

http://www.samsimpson.com/cryptography/pgp/pgpfaqnew.html

E também para quem quiser usar o RIPEMD-160 ou o SHA-256 tem a API gnu-crypto que tem todos estes algoritimos e mais:

http://www.gnu.org/software/gnu-crypto/

Aqui exemplos de como utilizar cada um:

http://www.google.com/codesearch?hl=en&q=show:UIWd3MN_uM4:Z05CjUrc2rQ:UwRIDAdbxLA&sa=N&ct=rd&cs_p=:pserver:anoncvs%40sources.redhat.com:/cvs/mauve+mauve&cs_f=gnu/testlet/gnu/java/security/hash/TestOfRipeMD160.java

No Java 1.6 parece que temos a disposição esta class:

http://java.sun.com/webservices/docs/1.6/api/javax/xml/crypto/dsig/DigestMethod.html

Não sei se há outra, mas por estar no package javax.xml não aprecio muito... quando estou programando não vou lembrar que a class de encriptação rápida esta dentro do javax.xml, lol, ai que prefiro usar o do gnu.

Também encontrei uma API em Java para fazer check sum:

http://www.jonelo.de/java/jacksum/

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Two years ago, Wang announced at an international data security conference that her team had successfully cracked four well-known hash algorithms?MD5, HAVAL-128, MD4, and RIPEMD?within ten years.

O RIPEMD já foi quebrado há mais tempo ainda

thingol wrote:

Two years ago, Wang announced at an international data security conference that her team had successfully cracked four well-known hash algorithms?MD5, HAVAL-128, MD4, and RIPEMD?within ten years.

O RIPEMD já foi quebrado há mais tempo ainda

Sim o RIPEMED foi mas o RIPEMED-160 não...

E o RIPEMED também tinha problemas de por vezes repetir chaves...

Mas pelo que parece o RIPEMED-160 ta perfeito... e rapido...

Veja melhor em:

http://www.samsimpson.com/cryptography/pgp/pgpfaqnew.html

Mais o menus o que aconteceu com o MD4 para o MD5... o RIMPED é mal e o RIPMED-160 é bomzão

Até surgir outro chinês que passa 20hs por dia "trabalhando" pra quebrar isso hehe

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

De fato, ela quebrou o RIPEMD-128, não o 160, mas não há nada que a impeça de quebrar o de 160 bits (o SHA-1 tem 160 também

)

thingol wrote:De fato, ela quebrou o RIPEMD-128, não o 160, mas não há nada que a impeça de quebrar o de 160 bits (o SHA-1 tem 160 também )

Claro, de 128 pra 160 restam 32 bits, isso é 2^32 ou seja 4294967296.....pra ela vai ser mamão com açúcar... coisa pouca...

Tem gente que não tem o que fazer ...por que ela não vai plantar arroz?

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Porque ela ganha justamente para quebrar esses algoritmos.

Você já viu aquele filme do Bruce Willis - Mercury Rising? (Código para o Inferno)
Pois é, ela não tem absolutamente nada a ver com aquele filme. Ela não é autista e não tem de fugir do diretor assassino da NSA.

thingol wrote:Porque ela ganha justamente para quebrar esses algoritmos.

Você já viu aquele filme do Bruce Willis - Mercury Rising? (Código para o Inferno)
Pois é, ela não tem absolutamente nada a ver com aquele filme. Ela não é autista e não tem de fugir do diretor assassino da NSA.

Sim, eu vi o filme, eu ia justamente comentar isso no post, mas desisti.
Vai ver ela é autista também e de olhos bem abertos.

Qual será o nível de criptografia que o homem vai criar pra que nem ele mesmo consiga descriptografar? Ora bolas, isso não existe. Da mesma maneira que sempre haverá vírus para os anti-vírus, por que, os criadores, talvez sejam seus exterminadores? Quem sabe?

JavaEvangelist Membro desde: 27/06/2005 09:37:50 Mensagens: 319 Offline

Vocês conhecem um algoritmo chamado ONE-TIME PAD???
dizem que ele é inquebrável...

http://under-linux.org/wiki/index.php/Tutoriais/Seguranca/conceito-crypto1

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

De fato é, mas tem o seguinte problema: como distribuir essa chave? Isso já foi muito usado em guerras, mas isso sempre deu problemas (por exemplo, como é difícil distribuir a chave, muitas vezes a chave era reaproveitada, e isso deu vários problemas).

Debugger Membro desde: 28/09/2006 15:51:27 Mensagens: 59 Offline

a melhor forma de distribuicao da chave eh pela criptografia quantica! mas ainda estah a anos luz da gente! =/

Na vida tudo passa, o tempo passa,.. a uva passa,.. ( :roll

É a tendência, do mesmo jeito que quebra-se os algoritmos, surgem novos...

Java Ninja Membro desde: 27/03/2006 14:23:57 Mensagens: 263 Offline

Essa notícia é velha... eu mesmo já venho avisando disso há tempos aqui no fórum mesmo... pra quem tem SHA-256, 512, etc, que já estão implementados em quase todas as linguagens, não faz sentido usar MD5.

De qualquer forma, o que ela encontrou na verdade foi uma forma muito efetiva de encontrar colisões, ou seja, encontrar uma entrada qualquer que resulte na mesma saída. Se você tem como restrição usar MD5, por exemplo, antes de fazer o hashing, concatene com uma seqüência grande e aleatória de caracteres (que obviamente você possa reproduzir depois). dessa forma, pelo menos você se protege de o cara achar uma "possível senha" dos seus sistemas.

Abraço,

Armando

Notícias, artigos e o maior fórum brasileiro sobre Java