[Linuxtrent] Re: Alla fine: l'ei nada la gagia!

• From: Flavio Visentin <THe_ZiPMaN@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Thu, 17 Feb 2005 13:14:05 +0100

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

| Da notare che la maggior parte degli algoritmi di firma digitale
utilizzati
| dalle CA italiane include l'uso di SHA1....
|
|>SHA1 definitivamente compromessa?
|>Sembrerebbe di si:
|>http://www.schneier.com/blog/archives/2005/02/sha1_broken.html
|>

Io andrei molto cauto nel parlare di definitiva compromissione.

L'unica cosa che è stata trovata è la possibilità di trovare una
collisione per un hash SHA1 in 2**69 tornate invece che 2**80.

Questo non significa che SHA1 è "compromesso", dato che nel 90% degli
utilizzi trovare una collisione non serve a niente.

Se per esempio ho un documento di testo firmato dovrei cercare
migliaia (o miliardi? o miliardi di miliardi?) di collisioni per
trovare un documento di testo di senso compiuto che abbia lo stesso
hash; quindi è pressoché *impossibile* sfruttare il problema.

Uno dei pochi casi in cui la collisione è veramente sfruttabile è
quella della corruzione di una comunicazione, in cui posso per esempio
sostituire una parte sana con una corrotta con stesso hash, ma anche
in questo caso non è detto che ne possa trarre effettivo beneficio.

Per il resto l'unica cosa che cambia è la quantità di giri richiesti
per trovare la collisione che comunque non sono una bazzecola pur
essendo di meno di vari ordini di grandezza.

Io personalmente non me ne preoccupo.

- --
Flavio Visentin

|                     \|||/
|                    @/0.0\@
|                     \ - /
+------------------oOOo---oOOo------------------

There are only 10 types of people in this world:
those who understand binary, and those who don't.

GPG Key: http://www.zipman.it/gpgkey.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFCFIW2usUmHkh1cnoRAlyNAJwM+1Aelwh7cNbA48AHgRvQS6nyFQCfSPy4
S91sHrIEf9OYL78kCy1HhtI=
=WNRY
-----END PGP SIGNATURE-----
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
    • From: Roberto A. Foglietta
  • [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
    • From: Giuliano Natali (el Diaolin)

• References:
  • [Linuxtrent] Alla fine: l'ei nada la gagia!
    • From: Giuliano Natali (el Diaolin)
  • [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
    • From: Roberto Resoli

Other related posts:

• » [Linuxtrent] Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!
• » [Linuxtrent] Re: Alla fine: l'ei nada la gagia!

1. Home
2. linuxtrent
3. Archive
4. 02-2005

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---