Tag Archives: sha

Dropbox 儲存密碼的方式

記得 Dropbox 前陣子才強迫所有使用者重設密碼:「The Dropbox hack is real」,官方的報告在這:「Resetting passwords to keep your files safe」,當時洩漏出來的資訊可以知道 2012 年的時候 Dropbox 用的是 SHA1: What we've got here is two files with email address and bcrypt hashes then another two with email addresses and SHA1 hashes. … Continue reading

Posted in Cloud, Computer, Murmuring, Network, Programming, Security | Tagged , , , , , , , , , , , , | Leave a comment

對 SHA-1 的攻擊進展

在 Bruce Schneier 這邊看到對 SHA-1 的攻擊又有新的進展了:「SHA-1 Freestart Collision」。 這次的論文不是真的找出 collision,而是對 internal compression function 攻擊,不過即使如此,這是首次攻擊完整的 80 rounds: We present in this article a freestart collision example for SHA-1, i.e., a collision for its internal compression function. This is the first practical … Continue reading

Posted in Computer, Hardware, Murmuring, Programming, Security | Tagged , , , , , , , , | 2 Comments

產生 SHA256 的 SSL Certificate

在「Adding an (SHA256 signed) SSL certificate」這篇文章裡提到要如何簽出帶 SHA256 的 SSL certificate,重點在於要先生出有 SHA256 的 CSR,然後拿著這份給 CA 簽。 先照抄過來,看起來是有 encrypted 過的版本: openssl genrsa -aes256 -out example-encrypted.key 2048 openssl rsa -in example-encrypted.key -out example-decrypted.key openssl req -new -sha256 -key example-decrypted.key -out example.csr 如果不加密的話應該是: openssl … Continue reading

Posted in Computer, Murmuring, Network, Security, WWW | Tagged , , , , , , | Leave a comment

htpasswd 的 SHA 不會帶 salt (seed)...

剛剛發現 htpasswd (Apache 的 .htpasswd 檔案產生程式) 提供的 SHA-1 不會使用 salt,不過 MD5 格式會... 以密碼「test」測試: gslin@colo-p [~] [17:44/W7] touch test.txt gslin@colo-p [~] [17:44/W7] htpasswd -b -m test.txt test1 test Adding password for user test1 gslin@colo-p [~] [17:44/W7] htpasswd -b -m test.txt test2 … Continue reading

Posted in Computer, Murmuring, Network, Security, Software, WWW | Tagged , , , , , , , , , | Leave a comment

NIST 公告選出 SHA-3 的演算法...

NIST 公告選出了 SHA-3 演算法:「NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition」。 演算法是 Keccak (唸作 catch-ack),這個演算法其中一個優勢是硬體速度: Keccak has higher performance in hardware implementations than SHA-2 or any of the other finalists. 由於選上的演算法會是 royalty-free license,接下來應該會看到許多 spec 開始納入 SHA-3... (參考 Announcing Request … Continue reading

Posted in Computer, Murmuring, Security | Tagged , , , | Leave a comment

SHA-3 最後審查...

在 Schneier on Security 上看到 SHA-3 的消息:「SHA-3 to Be Announced」。 1997 年,NIST 要找尋 Data Encryption Standard (DES) 的下一代標準,發起了有名的 AES 遴選計畫,也就是 Advanced Encryption Standard process。 公開遴選 AES 的成果就是在 2001 年 NIST 選出 Rijndael,由 Vincent Rijmen 與 Joan Daemen 兩位比利時密碼學家所發展出的對稱式加密系統。這個成果以現在來看是相當受到好評的:從 1998 年 … Continue reading

Posted in Computer, Murmuring, Programming, Security | Tagged , , , , | 1 Comment

FreeBSD Ports System 拿掉 MD5 檢查了...

在「MD5 for distinfo has been deprecated」這邊看到 FreeBSD Ports System 拿掉 MD5 檢查了 (會被忽略而不檢查)。 PR (Problem Report) 可以在「ports/149657: [bsd.port.mk] deprecate MD5 checksums in distinfo」查到。 翻了 cvs log,SHA256 是五年前 (2005) 加到 bsd.ports.mk 的:「Diff for /ports/Mk/bsd.port.mk between versions 1.517 and 1.518」,總算在今天把 MD5 取代了:「Diff … Continue reading

Posted in Computer, FreeBSD, Murmuring, OS, Security, Software | Tagged , , , , , | Leave a comment