[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] SHA1 collision & git

To: talking@ml.linuxvar.it
Subject: Re: [linux_var] SHA1 collision & git
From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
Date: Thu, 2 Mar 2017 09:55:52 +0100
Delivered-to: diegor@tiscali.it
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1488444955; bh=/mv4aGCROYuhxEjDYnwR4NNYGcyVwK9h4ishx31IHgg=; h=Date:From:To:References:In-Reply-To:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=Date:=20Thu,=202=20Mar=202017=2009:55:52=20+0100|From:=20Elena=20 ``of=20Valhalla''=20<valhalla-l@trueelena.org>|To:=20talking@ml.li nuxvar.it|References:=20<CAPsbc0+RMrCNEk6FUjN=3DwpuwHv6xmS6E=3D5X- Tvo8Wq4kessx+A@mail.gmail.com>=0D=0A=20<20170223230424.891feb1922f 3cc30fe10865b@gmx.co.uk>=0D=0A=20<20170224054816.kujso234wy6cwros@ manillaroad.local.home.trueelena.org>=0D=0A=20<CAPsbc0K78b62QnmV4x p6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com>=0D=0A=20<20170224 094935.tgxmmcb4hglzpyp5@manillaroad.local.home.trueelena.org>=0D=0 A=20<26A58D73-3226-4272-977E-C5CAEB43BC26@gmx.co.uk>=0D=0A=20<2017 0224120737.e4uavwtfgtls3ccz@manillaroad.local.home.trueelena.org>= 0D=0A=20<CAPsbc0K2cvHmokfj-UYdQM6zUt0uY=3DGfcG1BSEL7+YNdQZgy-g@mai l.gmail.com>=0D=0A=20<CAGod1SCeKgZrS0r1ugNgEGhrhoK7ezWV+qz3=3DnQk7 9Bo5xutUg@mail.gmail.com>|In-Reply-To:=20<CAGod1SCeKgZrS0r1ugNgEGh rhoK7ezWV+qz3=3DnQk79Bo5xutUg@mail.gmail.com>|Subject:=20Re:=20[li nux_var]=20SHA1=20collision=20&=20git|List-Id:=20linux_var=20-=20L UG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20<talking .ml.linuxvar.it>|List-Unsubscribe:=20<http://ml.linuxvar.it/cgi-bi n/mailman/options/talking>,=0D=0A=20<mailto:talking-request@ml.lin uxvar.it?subject=3Dunsubscribe>|List-Archive:=20<http://ml.linuxva r.it/pipermail/talking/>|List-Post:=20<mailto:talking@ml.linuxvar. it>|List-Help:=20<mailto:talking-request@ml.linuxvar.it?subject=3D help>|List-Subscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman/lis tinfo/talking>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it?sub ject=3Dsubscribe>|Reply-To:=20linux_var=20-=20LUG=20di=20Varese=20 e=20Provincia=20Mailing=20List=0D=0A=20<talking@ml.linuxvar.it>; b=rCyFGG5YkWJ9rCC0z8/sR7O7d6/kOht84zrTOIJMJr2W4tuCImLQ0K2jFh84NPePS A8LcyH9S+bE8sGJDKB70f1AQsLOiVAdREaGceIx5NPzBRWoAqcYYr6BvltcAUhTK9s sZtMATzrRHyF20nptkphJeheuLslYsVpAAGMN9BI=
In-reply-to: <CAGod1SCeKgZrS0r1ugNgEGhrhoK7ezWV+qz3=nQk79Bo5xutUg@mail.gmail.com>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
Mail-followup-to: talking@ml.linuxvar.it
References: <CAPsbc0+RMrCNEk6FUjN=wpuwHv6xmS6E=5X-Tvo8Wq4kessx+A@mail.gmail.com> <20170223230424.891feb1922f3cc30fe10865b@gmx.co.uk> <20170224054816.kujso234wy6cwros@manillaroad.local.home.trueelena.org> <CAPsbc0K78b62QnmV4xp6FXuCWhG39GekV25xzQe68QRegqtaxg@mail.gmail.com> <20170224094935.tgxmmcb4hglzpyp5@manillaroad.local.home.trueelena.org> <26A58D73-3226-4272-977E-C5CAEB43BC26@gmx.co.uk> <20170224120737.e4uavwtfgtls3ccz@manillaroad.local.home.trueelena.org> <CAPsbc0K2cvHmokfj-UYdQM6zUt0uY=GfcG1BSEL7+YNdQZgy-g@mail.gmail.com> <CAGod1SCeKgZrS0r1ugNgEGhrhoK7ezWV+qz3=nQk79Bo5xutUg@mail.gmail.com>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>
User-agent: NeoMutt/20170113 (1.7.2)

On 2017-03-02 at 09:28:14 +0100, Giovanni Orlandi wrote:
> Beh, però vedi il lato "storico".
> 
> Se ci fossero delle email o dei documenti PDF di valore storico
> "CONTRO-FIRMATI" con SHA1,
> tra qualche decina di anni si potrebbe "facilmente" alterarli, riproducendo
> la stessa SHA1.

sì, ci sono, ma no, non è detto

non è un problema di git, ma in passato gpg usava [1]_ anche SHA1 come hash
per le firme, e quindi sì, esistono documenti firmati nei quali SHA1 è
coinvolto.

Però con l'attacco attuale sono ancora al sicuro: questo attacco prevede
che ci sia un "prologo" comune costruito apposta nei documenti che hanno
lo stesso hash, quindi non può essere applicato a documenti firmati
arbitrari.

Certo, non vuol dire che in qualche decina di anni non esca qualche
altro attacco (magari più che su sha1 anche sulle chiavi stesse: una
lunghezza che oggi è sicura tra decine di anni potrebbe essere
fattorizzabile con facilità).

.. [1] se uno lo forza, forse lo fa ancora, ma non è più il default

-- 
Elena ``of Valhalla''
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

References:
- [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
- Re: [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
- Re: [linux_var] SHA1 collision & git
  - From: Riccardo Macoratti <r.macoratti@gmx.co.uk>
- Re: [linux_var] SHA1 collision & git
  - From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
- Re: [linux_var] SHA1 collision & git
  - From: Lorenzo Lobba <lorenzo.lobba@gmail.com>
- Re: [linux_var] SHA1 collision & git
  - From: Giovanni Orlandi <orlangio@gmail.com>

Prev by Date: Re: [linux_var] SHA1 collision & git
Next by Date: [linux_var] Segnalazione link
Previous by thread: Re: [linux_var] SHA1 collision & git
Next by thread: [linux_var] Hackinbo
Index(es):
- Date
- Thread