FreeBSD Ports System 拿掉 MD5 檢查了…
在「MD5 for distinfo has been deprecated」這邊看到 FreeBSD Ports System 拿掉 MD5 檢查了 (會被忽略而不檢查)。 PR (Problem Report) 可以在「ports/149657: [bsd.port.mk] deprecate MD5 checksums in distinfo」查到。 翻了 cvs log,SHA256...
View ArticleSHA-3 最後審查…
在 Schneier on Security 上看到 SHA-3 的消息:「SHA-3 to Be Announced」。 1997 年,NIST 要找尋 Data Encryption Standard (DES) 的下一代標準,發起了有名的 AES 遴選計畫,也就是 Advanced Encryption Standard process。 公開遴選 AES 的成果就是在 2001 年...
View ArticleNIST 公告選出 SHA-3 的演算法…
NIST 公告選出了 SHA-3 演算法:「NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition」。 演算法是 Keccak (唸作 catch-ack),這個演算法其中一個優勢是硬體速度: Keccak has higher performance in hardware implementations than...
View Articlehtpasswd 的 SHA 不會帶 salt (seed)…
剛剛發現 htpasswd (Apache 的 .htpasswd 檔案產生程式) 提供的 SHA-1 不會使用 salt,不過 MD5 格式會… 以密碼「test」測試: gslin@colo-p [~] [17:44/W7] touch test.txt gslin@colo-p [~] [17:44/W7] htpasswd -b -m test.txt test1 test Adding...
View Article產生 SHA256 的 SSL Certificate
在「Adding an (SHA256 signed) SSL certificate」這篇文章裡提到要如何簽出帶 SHA256 的 SSL certificate,重點在於要先生出有 SHA256 的 CSR,然後拿著這份給 CA 簽。 先照抄過來,看起來是有 encrypted 過的版本: openssl genrsa -aes256 -out example-encrypted.key...
View Article對 SHA-1 的攻擊進展
在 Bruce Schneier 這邊看到對 SHA-1 的攻擊又有新的進展了:「SHA-1 Freestart Collision」。 這次的論文不是真的找出 collision,而是對 internal compression function 攻擊,不過即使如此,這是首次攻擊完整的 80 rounds: We present in this article a freestart...
View ArticleClik here to view.
Dropbox 儲存密碼的方式
記得 Dropbox 前陣子才強迫所有使用者重設密碼:「The Dropbox hack is real」,官方的報告在這:「Resetting passwords to keep your files safe」,當時洩漏出來的資訊可以知道 2012 年的時候 Dropbox 用的是 SHA1: What we've got here is two files with email...
View ArticleGoogle 與 CWI Amsterdam 合作,找到 SHA-1 第一個 collision
Google 與 CWI Amsterdam 正式攻陷 SHA-1:「Announcing the first SHA1 collision」,然後也沒什麼意外的,現在大家都喜歡針對各種安全問題註冊一個 domain 來介紹:「SHAttered」。 把 shattered-1.pdf 與 shattered-2.pdf 下載下來確認,可以看出來兩個不一樣的檔案有同樣的 SHA-1 value:...
View Article對 SHA-3 的攻擊
隔壁棚剛順利打趴 SHA-1 (Google 與 CWI Amsterdam 合作,找到 SHA-1 第一個 collision),還是有人在針對比較新的演算法在攻擊:「SymSum: Symmetric-Sum Distinguishers Against Round Reduced SHA3」。 完整的 SHA-3 是 24 rounds,這次打的是 9 rounds...
View Article處理很久前用 OpenSSL 加密的備份資料
因為想要翻一些舊的文章 (小說),想把以前 BBS 的備份拉出來看看裡面有沒有,結果發現 OpenSSL 解半天都解不開,還跑去玩了 bruteforce-salted-openssl 這個專案: Try to find the password of a file that was encrypted with the 'openssl' command. 後來也是因為這個專案提醒,發現...
View ArticleClik here to view.
libtorrent 宣佈支援 BitTorrent v2
看到 libtorrent 宣佈支援 BitTorrent v2 (BEP 52) 的消息:「BitTorrent v2」。 BitTorrent v2 這個規格丟出來好久了,但一直都是 draft,而且沒什麼人想要理他,直到 Google 成功產生出 SHA-1 collision 的時候稍微有些音量跑出來,但沒想到居然有人跳下去支援了... 對使用者比較有感覺的差異是從 SHA-1 換成...
View ArticleClik here to view.
用圖片表示 SHA-256 的值
Hacker News 上看到的用法,把 SHA-256 的值表示成 avatar:「Representing SHA-256 Hashes As Avatars」,Hacker News 上的討論在「Representing SHA-256 Hashes as Avatars (francoisbest.com)」這邊可以看到。 做出來大概是這樣,這邊的...
View Article
