function – Page 2 – Gea-Suan Lin's BLOG

PHP 7.3 的 function 也會支援 trailing comma 了

這投票殺來殺去了好幾次才過，從 PHP 7.3 開始在 function 呼叫時就能接受 trailing comma 了：「PHP RFC: Allow a trailing comma in function calls」。

Wait, didn't we just vote on this?

Yes, there was an RFC to add trailing commas to all list syntax in PHP 7.2. Unfortunately due to an oversight on my end, the vote for function calls and function declarations was combined into one vote so the vote failed (but just barely!)

I was contacted by many “no” voters saying that they would have voted “yes” for function calls, but “no” for function declarations. This RFC proposes allowing a trailing comma in function call syntax only.

We are allowed to put this feature up for vote again since the mandatory 6-month waiting period has passed since the last vote and this RFC targets a new major version of PHP.

這次以 30:10 過了... (需要 2/3 以上同意)

下一代的 Tor Hidden Service

Tor 公佈了下一代的 Hidden Service (Onion Service)：「Tor's Fall Harvest: the Next Generation of Onion Services」。

三年前 Facebook 自己暴力算出 facebookcorewwwi.onion 這個很特別的名字 (參考「Facebook 證明 Tor 的 Hidden Service 不安全」)，這陣子連紐約時報也能暴力算出 nytimes3xbfgragh.onion 這個好名字 (參考「紐約時報網站上 Tor 的 Hidden Service (i.e. Tor Onion Service)」，這讓只有 16 chars 的 hostname 的 hashed-space 不夠大的問題愈來愈明顯 (只有 80 bits 的空間)。

如果你也想要找出一個有趣的 hostname 的話，可以用 lachesis/scallion 這樣的工具，這程式用 CPU 產生出 RSA key 後，再用 GPU 算 SHA-1：

The inital RSA key generation is done the CPU. An ivybridge i7 can generate 51 keys per second using a single core. Each key can provide 1 gigahash worth of exponents to mine and a decent CPU can keep up with several GPUs as it is currently implemented.

也因為如此，Facebook 與紐約時報在上線時並不是直接在 Hidden Service 上裸奔，而是上了 HTTPS 作為 workaround，以避免資料外洩。

但這畢竟是 workaround，Tor 的人還是希望協定本身就可以提供一個夠安全的架構，而花了四年多發展出下一代的 Hidden Service，也就是這次提到的成果了。

最大的改變就是 hostname 變長很多了，從本來的 16 chars 變成 56 chars：

And finally from the casuals user's PoV, the only thing that changes is that new onions are bigger, tastier and they now look like this: 7fa6xlti5joarlmkuhjaifa47ukgcwz6tfndgax45ocyn4rixm632jid.onion.

hostname 變長主要是因為把整個 256 bits public key 放進去，可以從 spec 看到：

6. Encoding onion addresses [ONIONADDRESS]

   The onion address of a hidden service includes its identity public key, a
   version field and a basic checksum. All this information is then base32
   encoded as shown below:

     onion_address = base32(PUBKEY | CHECKSUM | VERSION) + ".onion"
     CHECKSUM = H(".onion checksum" | PUBKEY | VERSION)[:2]

     where:
       - PUBKEY is the 32 bytes ed25519 master pubkey of the hidden service.
       - VERSION is an one byte version field (default value '\x03')
       - ".onion checksum" is a constant string
       - CHECKSUM is truncated to two bytes before inserting it in onion_address

  Here are a few example addresses:

       pg6mmjiyjmcrsslvykfwnntlaru7p5svn6y2ymmju6nubxndf4pscryd.onion
       sp3k262uwy4r2k3ycr5awluarykdpag6a7y33jxop4cs2lu5uz5sseqd.onion
       xa4r2iadxm55fbnqgwwi5mymqdcofiu3w6rpbtqn7b2dyn7mgwj64jyd.onion

   For more information about this encoding, please see our discussion thread
   at [ONIONADDRESS-REFS].

這是因為在 ECC 的安全性被廣泛認可後，ECC 的優點就被拿出來用在這次設計上了：

256 bits 的 ECC key 強度大約是 3072 bits RSA key (以現在最好的攻擊演算法來估算)。
直接放 public key 不需要經過 hash function 計算，可以避免掉 hash function 被找到 collision 時的風險。

於是因為 hostname 放的下，就硬塞進去了 XDDD

不過如果要玩的人需要裝 alpha 版本，目前的 stable 版本還沒有這個功能：

Tor as of version 0.3.2.1-alpha supports the next-gen onion services protocol for clients and services! As part of this release, the core of proposal 224 has been implemented and is available for experimentation and testing by our users.

BitTorrent 對 SHA-1 的改善計畫？

最新一版的 Tails 不再支援透過 BitTorrent 下載，會被導去「Biterrant attack」這邊的連結，裡面有一些關於在 SHA-1 打穿後要怎麼判斷。

BitTorrent 的討論 (包括 BitTorrent 發明人 Bram Cohen 的參與) 則是在 GitHub 上：「Transitioning to stronger hash function · Issue #58 · bittorrent/bittorrent.org」，不過看起來連要用什麼 hash algorithm 的定案都還沒有啊... 而且二月底比較熱鬧一點，三月後都沒什麼動作了。

看起來短時間也不會有動作了...

SHA-1 插曲...

把之前兩個不一樣的 PDF (但是 SHA-1 一樣) 塞到 Git 裡面，然後其他程式發現問題而炸掉了 XDDD

hahahahahahahahahahahaha they added a test for the shattered.io vuln to webkit and it broke git :-) https://t.co/GGvbYYAvf8 pic.twitter.com/lPNptlFeH5

— Andy Wingo (@andywingo) February 24, 2017

對 SHA-3 的攻擊

隔壁棚剛順利打趴 SHA-1 (Google 與 CWI Amsterdam 合作，找到 SHA-1 第一個 collision)，還是有人在針對比較新的演算法在攻擊：「SymSum: Symmetric-Sum Distinguishers Against Round Reduced SHA3」。

完整的 SHA-3 是 24 rounds，這次打的是 9 rounds 版本，雖然有段距離，但這等於是大進展：

Based on this we propose a new distinguisher called SymSum for the SHA3 family which penetrates up to 9 rounds and outperforms the ZeroSum distinguisher by a factor of four.

不過 SHA-3 用的人不算多，該不會在還沒成為主流就被打趴...

Google 與 CWI Amsterdam 合作，找到 SHA-1 第一個 collision

Google 與 CWI Amsterdam 正式攻陷 SHA-1：「Announcing the first SHA1 collision」，然後也沒什麼意外的，現在大家都喜歡針對各種安全問題註冊一個 domain 來介紹：「SHAttered」。

把 shattered-1.pdf 與 shattered-2.pdf 下載下來確認，可以看出來兩個不一樣的檔案有同樣的 SHA-1 value：

gslin@home [/tmp] [21:33/W4] sha1sum *.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf

gslin@home [/tmp] [21:33/W4] sha256sum *.pdf
2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0  shattered-1.pdf
d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff  shattered-2.pdf

直接拿 pdf 來打，表達的是「一次到位」以及「既然可以攻擊 pdf，那麼其他東西當然也有可能」...

攻擊計算量的部份，這次攻擊使用的資源其實不算少，但對於大公司與大單位已經不是問題了，猜這次 Google 應該是贊助不少雲端設施：

6,500 years of CPU computation to complete the attack first phase
110 years of GPU computation to complete the second phase

這衍生出另外一個頭比較大的問題是 Git 目前使用的 SHA1：

GIT strongly relies on SHA-1 for the identification and integrity checking of all file objects and commits. It is essentially possible to create two GIT repositories with the same head commit hash and different contents, say a benign source code and a backdoored one. An attacker could potentially selectively serve either repository to targeted users. This will require attackers to compute their own collision.

這下得來看 Git 核心團隊要怎麼從 SHA-1 migrate 到其他 hash function 了...

用 Bitmap 或是用 Tilemap 組成大圖

在「mxgmn/WaveFunctionCollapse」這邊看到有趣的東西：

This program generates bitmaps that are locally similar to the input bitmap.

我覺得這張很有感覺，給幾個 bitmap，然後電路板就出現了：

然後這張的感覺也很棒：

還有 3D 的：

用 AspectMock 來替換 PHP function...

前幾天下班前同事說小鐵 jaceju 介紹了 Codeception/AspectMock 這個把 PHP function 抽換掉的套件，不需要靠 PECL 另外裝，不過缺點是只能抽換 namespace 裡面的 function... 不過這樣對於補 code coverage 也很夠了 :o

測了一下，寫了個小程式：

<?php

namespace myscript;

require __DIR__ . '/vendor/autoload.php';

\AspectMock\Kernel::getInstance()->init();

use AspectMock\Test;

echo time(), "\n";

Test::func(__NAMESPACE__, 'time', 'now');

echo time(), "\n";

然後跑出來變成：

1466612797
now

而字串 'now' 也可以換成 anonymous function，這樣已經可以做不少事情了...

Google 發表了三個 Hash 演算法的實作

Google 發表了三個 Hash 演算法的實作：「New algorithms may lower the cost of secure computing」。

第一個是 SipHash 的加速實作，透過 AVX-2 指令集加速，看維基百科的資料，2011 後的 Intel/AMD CPU 似乎都有提供這組指令集：

Our first hash function produces the same output as SipHash, but 1.5 times as quickly thanks to AVX-2 instructions.

第二個是 SipHash 的改良版，但輸出不同 (所以不是 SipHash)，但速度比 SipHash 更快：

The second improvement uses j-lanes tree hashing to process multiple inputs in parallel, which is 3 times as fast. This technique is known to be secure, but produces different output than the original SipHash and is slightly slower for short inputs.

第三個則是新的 Hash，速度比前兩者又更快了，但還需要有更多人分析才能確認安全性：

HighwayHash is based on a new way of mixing inputs with just a few AVX-2 multiply and permute instructions. We are hopeful that the result is a cryptographically strong pseudorandom function, but new cryptanalysis methods might be needed for analyzing this promising family of hash functions. HighwayHash is significantly faster than SipHash for all measured input sizes, with about 7 times higher throughput at 1 KiB.

三者的程式碼都可以在 GitHub 上的「google/highwayhash」找到，看 LICENSE 檔案是 Apache License 2.0。

對 SHA-1 的攻擊進展

在 Bruce Schneier 這邊看到對 SHA-1 的攻擊又有新的進展了：「SHA-1 Freestart Collision」。

這次的論文不是真的找出 collision，而是對 internal compression function 攻擊，不過即使如此，這是首次攻擊完整的 80 rounds：

We present in this article a freestart collision example for SHA-1, i.e., a collision for its internal compression function. This is the first practical break of the full SHA-1, reaching all 80 out of 80 steps, while only 10 days of computation on a 64 GPU cluster were necessary to perform the attack.

論文資訊可以在「The SHAppening: freestart collisions for SHA-1」這邊看到。