The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Google досрочно прекратит поддержку SHA-1 в Chrome"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от opennews (??) on 21-Дек-15, 23:43 
Компания Google опубликовала (https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o...) обновлённый план прекращения поддержки SHA-1 в браузере Chrome, в соответствии с которым поддержка будет прекращена не 1 января 2017 года, а 1 июля 2016 года. Ранее, после выявления (https://www.opennet.ru/opennews/art.shtml?num=43124) новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1, аналогичное решение было принято (https://www.opennet.ru/opennews/art.shtml?num=43172) разработчиками Firefox.

При этом, доверие к новым сертификатам на базе SHA-1, выписанным после 1 января 2016 года, будет прекращено уже начиная с  Chrome 48, выпуск которого ожидается в начале 2016 года (в июле доверие будет прекращено ко всем сертификатам, заверенным с использованием SHA-1, независимо от даты их создания). По мнению Google пдобное изменение не должно негативно отразиться на работе сайтов, так как удостоверяющим центрам предписано (https://cabforum.org/baseline-requirements-documents/)  с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов.


Тем временем компания Facebook не согласна с новыми требованиями и предупредила (http://arstechnica.com/security/2015/12/sha1-sunset-will-blo.../), что прекращение использования SHA-1 может оставить без шифрования десятки миллионов пользователей. По данным Facebook около 7% находящихся в обиходе браузеров не поддерживают алгоритм хэширования SHA256, который упомянут в качестве минимального требования после устаревания SHA-1. По данным CloudFlare около 37 млн пользователей не смогут работать с сертификатами, подписанными с использованием SHA256. Таким образом, в условиях возможности подбора коллизии для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов, вред от оставления десятков миллионов пользователей без шифрования превышает опасность от провеления целенаправленных атак на SHA-1 для этих пользователей.


В качестве решения проблемы Facebook  и CloudFlare предлагают реализовать запасной вариант, разрешив установку HTTPS-соединений с применением сертификатов на базе SHA-1, но только при условии, что браузер клиента не поддерживает SHA256 и более надёжные хэш-функции. Facebook планирует реализовать данный метод для всех своих сайтов, а CloudFlare для всего трафика своих клиентов. К инициативе также подключился китайский портал Alibaba.


Для более широкого распространения данной идеи предложено изменить требования (https://cabforum.org/baseline-requirements/) к удостоверяющим центрам, введя в обиход новый класс сертификатов LV (Legacy Validated), заверенных с использованием SHA-1. При этом LV-сертификат можно будет выдавать только в том случае, если организация уже имеет сертификат на базе SHA256 и продемонстрировала его использование для современных браузеров.


URL: https://googleonlinesecurity.blogspot.ru/2015/12/an-update-o...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43565

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +2 +/
Сообщение от Аноним (??) on 21-Дек-15, 23:52 
С мобильными браузерами нынче как пятнадцать лет назад с десктопными - необновлённых больше, чем свежих.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Google досрочно прекратит поддержку SHA-1 в Chrome"  –7 +/
Сообщение от Аноним (??) on 22-Дек-15, 02:01 
> оставления десятков миллионов пользователей без шифрования

Так надо этих пользователей оставить не без шифрования а без доступа к сайтам вообще. Это очень просто - закoпать несекурный HTTP пора очень давно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +2 +/
Сообщение от Аноним (??) on 22-Дек-15, 05:37 
Ведь у всех есть деньги на покупку нового девайса. В африке там, в Индии.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от paulus (ok) on 22-Дек-15, 12:38 
таки да, в экСовке у всех бабла валом ;)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Аноним (??) on 22-Дек-15, 08:18 
> закoпать несекурный HTTP пора очень давно.

Например я, вот, хочу фильтровать, логировать и изменять собственный web-траффик установленным тут же на локалхосте прокси-сервером, а также не вижу лично для себя никакого смысла шифровать всё подряд (кроме пересылки паролей, личных сообщений и тому подобного). Почему Вы делаете выбор за меня?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +2 +/
Сообщение от Аноним (??) on 22-Дек-15, 10:01 
Так запили себе MitM и свой корневой сертификат себе добавь.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +1 +/
Сообщение от Аноним (??) on 22-Дек-15, 10:04 
А что так можно?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Snaut (ok) on 22-Дек-15, 10:37 
> А что так можно?

можно и даже на уровне государства


Казахстан внедряет свой CA для прослушивания всего TLS-трафика

http://habrahabr.ru/post/272207/

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +1 +/
Сообщение от Аноним (??) on 22-Дек-15, 23:55 
>> А что так можно?
> можно и даже на уровне государства
> Казахстан внедряет свой CA для прослушивания всего TLS-трафика
> http://habrahabr.ru/post/272207/

Заипётся. Это дырища в нацбезопасности размером с штат Техас. Только они еще этого не поняли. Масштабный банковский кризис хорошо прочистит мозги недоумкам из правительства.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Snaut (ok) on 23-Дек-15, 11:19 
>>> А что так можно?
>> можно и даже на уровне государства
>> Казахстан внедряет свой CA для прослушивания всего TLS-трафика
>> http://habrahabr.ru/post/272207/
> Заипётся. Это дырища в нацбезопасности размером с штат Техас. Только они еще
> этого не поняли. Масштабный банковский кризис хорошо прочистит мозги недоумкам из
> правительства.

Админ, владеющий закрытым ключом наверное сразу станет самым лакомым кусочком для преступных элементов)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

24. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Аноним (??) on 22-Дек-15, 23:54 
> А что так можно?

Открой для себя SSL Bump.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

5. "Google досрочно прекратит поддержку SHA-1 в Chrome"  –1 +/
Сообщение от Аноним (??) on 22-Дек-15, 02:08 
Мужик сказал - мужик сделал. Гугл в лучших традициях!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от pavlinux (ok) on 22-Дек-15, 02:15 
Если они все так переживают за безопасность клиентов, ну выдай ты 100500 предупреждений,
что "Клиент, ты - дятел, и если тебя хакнут, сам виноват будешь!"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Crazy Alex (ok) on 22-Дек-15, 04:15 
И будет туча недовольных задолбанных клиентов. А так - стерпят. Предупреждения хороши там, где они предсказуемы. К примеру, когда рута просишь - можно хоть десять ставить. А когда человек бродит по страничкам - он прибить кого-нибудь захочет после десятого выскочившего окошка.

А так - юзеру просто напомнят о том, что он наверняка и сам знает - что пользуется каким-то старьём. И виноват будет он сам или админ, а не гугл.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Аноним (??) on 22-Дек-15, 10:00 
Ну и зря, сделали план - так придерживайтесь. Какой смысл тогда вообще в этих заявлениях, если они всё двигают как хотят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от 10й Брейтовский переулок on 22-Дек-15, 10:06 
Ты прикинь, жизнь вносит коррективы!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Аноним (??) on 22-Дек-15, 10:13 
SHA-1 протух несколько быстрее чем ожидалось.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Аноним (??) on 22-Дек-15, 10:23 
По расчетам Брюса Шнайера прогнозируемая стоимость оборудования для подбора коллизии("взлома") sha-1 будет равна:
~ $700K в 2015 г.
~ $173K в 2018 г.
~ $43K в 2021 г.
https://www.schneier.com/blog/archives/2012/10/when_will_we_...
т. е. "взлом" уже доступен спецслужбам и крупным корпорациям.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Snaut (ok) on 22-Дек-15, 10:39 
> По расчетам Брюса Шнайера прогнозируемая стоимость оборудования для подбора коллизии("взлома")
> sha-1 будет равна:
> ~ $700K в 2015 г.
> ~ $173K в 2018 г.
> ~ $43K в 2021 г.
> https://www.schneier.com/blog/archives/2012/10/when_will_we_...
> т. е. "взлом" уже доступен спецслужбам и крупным корпорациям.

АНБ в первую очередь принимала участие в разработке SHA-256. Угадай почему?

Вот еще статья для размышлений.

https://www.opennet.ru/opennews/art.shtml?num=43543

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Аноним (??) on 22-Дек-15, 10:27 
>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1,

git все?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Andrey Mitrofanov on 22-Дек-15, 10:42 
>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1,
> git все?

Нет.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Andrey Mitrofanov on 22-Дек-15, 10:43 
>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1,
> git все?

Давно. http://mikegerwitz.com/papers/git-horror-story.html

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Andrey Mitrofanov on 22-Дек-15, 11:05 
>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1,
> git все?

Не дождётесь. Привет хозяевам.

https://github.com/git/git/commit/844a9ce47208de173341525c15...
https://github.com/git/git/commit/5455ee0573a22bb793a7083d59...
https://github.com/git/git/commit/a916cb5fb4824322d7e99b1b0e...
https://www.spinics.net/lists/git/msg262875.html
http://git.661346.n2.nabble.com/PATCH-v3-00-13-object-id-par...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Google досрочно прекратит поддержку SHA-1 в Chrome"  +/
Сообщение от Andrey Mitrofanov on 22-Дек-15, 11:07 
>>новых методов ускорения подбора коллизий в алгоритме хэширования SHA-1,
> git все?

Вам будет аполезно: http://issha1brokenyet.com/

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру