Tag Archives: hash

超過三億筆的密碼 (Hash 過的)

Posted on August 7, 2017 by Gea-Suan Lin

Troy Hunt 放出三億筆 SHA1 hash 過的密碼讓大家研究:「Introducing 306 Million Freely Downloadable Pwned Passwords」。 他引用了 NIST 新的草案中對密碼的建議,阻擋已知外洩的密碼: 檔案可以在「I been pwned? Pwned Passwords」這邊下載。

Posted in Computer, Murmuring, Network, Privacy, Security, Service, Social | Tagged , , , , , , , , , , | Leave a comment

歡樂的 md5crypt 密碼...

Posted on July 21, 2017 by Gea-Suan Lin

作者寫了一篇關於以前在 WHOIS 記錄上看到一串 $1$ 開頭的 md5crypt 密碼 XDDD:「I mean, why not tell everyone our password hashes?」。 Now the fields are filtered but this is a reasonably recent change. Prior to July 2015 the hashed passwords were shown to anyone who … Continue reading

Posted in Computer, Murmuring, Network, Security | Tagged , , , , , , , , , , | Leave a comment

BitTorrent 對 SHA-1 的改善計畫?

Posted on May 5, 2017 by Gea-Suan Lin

最新一版的 Tails 不再支援透過 BitTorrent 下載,會被導去「Biterrant attack」這邊的連結,裡面有一些關於在 SHA-1 打穿後要怎麼判斷。 BitTorrent 的討論 (包括 BitTorrent 發明人 Bram Cohen 的參與) 則是在 GitHub 上:「Transitioning to stronger hash function · Issue #58 · bittorrent/bittorrent.org」,不過看起來連要用什麼 hash algorithm 的定案都還沒有啊... 而且二月底比較熱鬧一點,三月後都沒什麼動作了。 看起來短時間也不會有動作了...

Posted in Computer, Murmuring, Network, P2P, Security, Software | Tagged , , , , , , , , , , , , | 1 Comment

Git 支援其他 Hash 演算法的進展

Posted on March 19, 2017 by Gea-Suan Lin

Git 用 SHA-1,而 SHA-1 又破的問題使得 Git 開始計畫其他 hash algorithm (「Google 與 CWI Amsterdam 合作,找到 SHA-1 第一個 collision」)。 在「"uchar [40]" to "struct object_id" conversion continues.」這邊可以看到一些動作,先把本來的 uchar[40] 換成一般性的 struct object_id。 Hacker News 上的「The beginning of Git supporting other hash algorithms」也有一些討論可以看。

Posted in Computer, Murmuring, Programming, Security, Software | Tagged , , , , | Leave a comment

SHA-1 插曲...

Posted on February 25, 2017 by Gea-Suan Lin

把之前兩個不一樣的 PDF (但是 SHA-1 一樣) 塞到 Git 裡面,然後其他程式發現問題而炸掉了 XDDD hahahahahahahahahahahaha they added a test for the shattered.io vuln to webkit and it broke git :-) https://t.co/GGvbYYAvf8 pic.twitter.com/lPNptlFeH5 — Andy Wingo (@andywingo) February 24, 2017

Posted in Computer, Murmuring, Network, Programming, Security, Software | Tagged , , , , , , | Leave a comment

對 SHA-3 的攻擊

Posted on February 24, 2017 by Gea-Suan Lin

隔壁棚剛順利打趴 SHA-1 (Google 與 CWI Amsterdam 合作,找到 SHA-1 第一個 collision),還是有人在針對比較新的演算法在攻擊:「SymSum: Symmetric-Sum Distinguishers Against Round Reduced SHA3」。 完整的 SHA-3 是 24 rounds,這次打的是 9 rounds 版本,雖然有段距離,但這等於是大進展: Based on this we propose a new distinguisher called SymSum for the SHA3 family which penetrates … Continue reading

Posted in Computer, Murmuring, Security | Tagged , , , , , , , | Leave a comment

Google 與 CWI Amsterdam 合作,找到 SHA-1 第一個 collision

Posted on February 23, 2017 by Gea-Suan Lin

Google 與 CWI Amsterdam 正式攻陷 SHA-1:「Announcing the first SHA1 collision」,然後也沒什麼意外的,現在大家都喜歡針對各種安全問題註冊一個 domain 來介紹:「SHAttered」。 把 shattered-1.pdf 與 shattered-2.pdf 下載下來確認,可以看出來兩個不一樣的檔案有同樣的 SHA-1 value: gslin@home [/tmp] [21:33/W4] sha1sum *.pdf 38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-1.pdf 38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-2.pdf gslin@home [/tmp] [21:33/W4] sha256sum *.pdf 2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0 shattered-1.pdf d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff shattered-2.pdf 直接拿 pdf 來打,表達的是「一次到位」以及「既然可以攻擊 … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , , , , , | 3 Comments

Ruby 2.4 中 Hash Table 的效能改善

Posted on December 28, 2016 by Gea-Suan Lin

前幾天 Ruby 推出了 2.4.0 (Ruby 2.4.0 Released),其中特別被拿出來提的:「Introduce hash table improvement (by Vladimir Makarov)」。 討論串很長而且歷時很久,但可以看出來方向是提高 CPU cache 效率: Modern processors have several levels of cache. Usually,the CPU reads one or a few lines of the cache from memory (or another level … Continue reading

Posted in Computer, Murmuring, Programming, Software | Tagged , , , , , , , , | Leave a comment

拔掉 Medium 網站出現的 Hash Mark

Posted on November 4, 2016 by Gea-Suan Lin

Medium 會在網址上串上 Fragment identifier (就是井號 # 後面那一串),而這件事情一直頗讓人惱怒... 網路上查到的幾個解法都是針對 medium.com 再做一次 replaceState() 把 hash mark 拔掉,但這對於使用自訂網址而且 hosting 在 Medium 的網站就沒用了 (因為網域不在 medium.com 下),但一時間沒想到比較好的解法... 今天下午突然想到應該可以擋下 replaceState() 來做,就花了些時間研究一下 Medium 的實作方法,然後用 Greasemonkey script 寫了一個 prototype,看起來有達到需求:「Medium Hash Cleaner」,程式碼可以在 source page 頁直接看到 (沒幾行)。 想法是透過 @run-at 指定在 … Continue reading

Posted in Blog, Computer, Murmuring, Network, Programming, Software, WWW | Tagged , , , , , , , | Leave a comment

Dropbox 儲存密碼的方式

Posted on September 23, 2016 by Gea-Suan Lin

記得 Dropbox 前陣子才強迫所有使用者重設密碼:「The Dropbox hack is real」,官方的報告在這:「Resetting passwords to keep your files safe」,當時洩漏出來的資訊可以知道 2012 年的時候 Dropbox 用的是 SHA1: What we've got here is two files with email address and bcrypt hashes then another two with email addresses and SHA1 hashes. … Continue reading

Posted in Cloud, Computer, Murmuring, Network, Programming, Security | Tagged , , , , , , , , , , , , | Leave a comment