Tag Archives: hash

Dropbox 儲存密碼的方式

Posted on September 23, 2016 by Gea-Suan Lin

記得 Dropbox 前陣子才強迫所有使用者重設密碼:「The Dropbox hack is real」,官方的報告在這:「Resetting passwords to keep your files safe」,當時洩漏出來的資訊可以知道 2012 年的時候 Dropbox 用的是 SHA1: What we've got here is two files with email address and bcrypt hashes then another two with email addresses and SHA1 hashes. … Continue reading

Posted in Cloud, Computer, Murmuring, Network, Programming, Security | Tagged , , , , , , , , , , , , | Leave a comment

PGP 短 ID 的安全問題

Posted on August 18, 2016 by Gea-Suan Lin

PGP 短 ID 的安全問題出來了,不見棺材不掉淚啊:「Fake Linus Torvalds' Key Found in the Wild, No More Short-IDs.」。 重點在這段,已經有人發出攻擊了: Search Result of 0x00411886: https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index Fake Linus Torvalds: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886] Real Linus Torvalds: ABAF 11C6 5A29 70B1 … Continue reading

Posted in Computer, Linux, Murmuring, Network, OS, Programming, Security, Social, Software | Tagged , , , , , , , , , , , , , , , , | Leave a comment

Google 提出的 Jump Consistent Hash

Posted on July 26, 2016 by Gea-Suan Lin

堆了一陣子的文章... 當有 n 台 cache server 給你使用,最傳統的作法是 hash(key) % n 決定挑哪一台 cache server,但這個方法在增加或減少機器時就會讓 cache 大規模失效。Consistent Hashing 就是希望在這種情況下 (增加或是移除 cache server 時) 可以避免大規模 cache 失效的問題。 比較基本的 Consistent Hash 作法是將 hash(key) 的值對應到 ring 上 (假設是 hash value 的範圍是 32bits,也就是 0 到 0xFFFFFFFF,那麼 … Continue reading

Posted in Computer, Murmuring, Network, Programming | Tagged , , , , , | Leave a comment

hashcat v3.00

Posted on July 2, 2016 by Gea-Suan Lin

hashcat 是個用暴力法拿來計算各種 reverse hash 的的工具,也就是對於 HASH(key) = value 時,給 value 的值,要求得出 key 的值 (被稱為 Preimage attack)。 雖然是暴力法,但還是花了很多力氣加速,尤其在這個 GPU 已經很常見的年代,這套軟體也支援透過 GPU 加速運算。 先前的版本是 CPU 與 GPU 分開兩個版本可以用 (CPU 版本的叫 hashcat,GPU 版本的叫做 oclHashcat),而 GPU 的版本只支援 nVidia 與 AMD 兩家大廠的顯卡。 而在 v3.00 版,透過 … Continue reading

Posted in Computer, Hardware, Murmuring, Security, Software | Tagged , , , , , , , , , , | 3 Comments

Google 發表了三個 Hash 演算法的實作

Posted on March 14, 2016 by Gea-Suan Lin

Google 發表了三個 Hash 演算法的實作:「New algorithms may lower the cost of secure computing」。 第一個是 SipHash 的加速實作,透過 AVX-2 指令集加速,看維基百科的資料,2011 後的 Intel/AMD CPU 似乎都有提供這組指令集: Our first hash function produces the same output as SipHash, but 1.5 times as quickly thanks to AVX-2 instructions. … Continue reading

Posted in Computer, Murmuring, Programming, Security | Tagged , , , , , , , , , , , , , , | Leave a comment

奇怪的 RFC:Naming Things with Hashes

Posted on February 22, 2016 by Gea-Suan Lin

看到「RFC 6920: Naming Things with Hashes」這個,看日期是 April 2013,就在想是不是四月一號發的... 但內容看起來還頗有用的,有種 distributed web 的味道?文件裡給的範例長這樣: <html> <head> <title>ni: relative URI test</title> <base href="ni://example.com"> </head> <body> <p>Please check <a href="sha-256;f4OxZX...">this document</a>. and <a href="sha-256;UyaQV...">this other document</a>. and <a href="sha-256-128;...">this third document</a>. </p> </body> </html> … Continue reading

Posted in Computer, Murmuring, Network, WWW | Tagged , , , , , , , | Leave a comment

還有超過 20% 的網站使用 SHA-1 憑證

Posted on October 20, 2015 by Gea-Suan Lin

依照 Netcraft 的說明,還有超過 20% 的網站使用 SHA-1 certificate:「One million SSL certificates still using “insecure” SHA-1 algorithm」。 雖然轉換速度算是很快了,不過本來依照進度,2015 年底瀏覽器就應該要把 SHA-1 certificate 認為不安全 (於是失效): 照目前速度,今年年底應該只能掉到 10% 左右吧...

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , , , | Leave a comment

對 SHA-1 的攻擊進展

Posted on October 9, 2015 by Gea-Suan Lin

在 Bruce Schneier 這邊看到對 SHA-1 的攻擊又有新的進展了:「SHA-1 Freestart Collision」。 這次的論文不是真的找出 collision,而是對 internal compression function 攻擊,不過即使如此,這是首次攻擊完整的 80 rounds: We present in this article a freestart collision example for SHA-1, i.e., a collision for its internal compression function. This is the first practical … Continue reading

Posted in Computer, Hardware, Murmuring, Programming, Security | Tagged , , , , , , , , | 2 Comments

Cisco 釋出偵測是否有被植入後門的程式

Posted on September 27, 2015 by Gea-Suan Lin

前幾天在「在 Cisco Router 上被植入的後門」這邊提到了 Cisco 的 router 被植入後門,剛剛在 Zite 上看到 Cisco 放出檢查程式:「Cisco released a tool to scan for SYNful_Knock implants」。 程式是用 Python 寫的,可以在「Talos Intel - Synful Knock Scanner」這邊取得,但這個網站沒有用 HTTPS 保護,網站上提供的 Hash 簽名也沒有 PGP 簽名的資訊,從無信任起... 找了一下 Cisco 官方的資訊,在「SYNful Knock Scanner」這邊也有提供 Hash,請用這邊的值確認吧,這是目前能做到最好的確認了。

Posted in Computer, Hardware, Murmuring, Network, Security, Software | Tagged , , , , , , , , | Leave a comment

Amazon DynamoDB 筆記

Posted on January 14, 2015 by Gea-Suan Lin

Amazon DynamoDB 頁面上的介紹: Amazon DynamoDB is a fast and flexible NoSQL database service for all applications that need consistent, single-digit millisecond latency at any scale. 資料型態的部份就跳過去了,這篇筆記的重點在於 index 的部份 (了解他如何 scale),尤其是對 RDBMS 有了解的人要如何從他所設計的架構理解 DynamoDB 的 index。 理論基礎是 Amazon 在 2007 年丟出的論文「Dynamo: … Continue reading

Posted in AWS, Cloud, Computer, Database, Murmuring, Network, Software | Tagged , , , , , , , , , , , , | 1 Comment