Slo-Tech - Zgostitveni algoritmi danes tvorijo osnovo varnosti na internetu. Uporabljajo se za zaščito gesel (hramba v obliki kontrolne vsote), kot pseudonaključni generator števil, pri generiranju naključnih imen datotek, za preverjanje integritete pri prenosu datotek (npr. v P2P omrežjih), za preverjanje integritete arhivskih datotek (tim. checksum), pri implementaciji digitalnega podpisa, časovnega žigosanja, overovitvi digitalnih potrdil, za digitalno podpisovanje datotek, gonilnikov ter seveda pri digitalni forenziki. Iz vsega tega je jasno, da morajo biti algoritmi za izračun kontrolnih vsot karseda varni.

To ne velja več za algoritem SHA-1.

Skupina raziskovalcev iz CWI Amsterdam in Google Research je namreč te dni objavila rezultate svoje raziskave, ki je pokazala, da...

Mozilla.org - V javnosti so se znašli podatki, da je Mozilla zaradi napake na strežniku za kratek čas 17. decembra javno objavila približno 44.000 gesel uporabniških računov za stran https://addons.mozilla.org. O spodrsljaju, na katerega je Mozillo opozoril neodvisni varnostni strokovnjak, so obvestili lastnike računov in tudi širšo javnost.

Šlo naj bi za trenutno neaktivna gesla, ki so bila shranjena še s staro zgoščevalno funkcijo md5, medtem ko so vsa od 9. aprila lani aktivna shranjena s SHA-512. Mozilla je hitro onemogočila omenjene račune in njihove lastnike obvestila, kako naj si nastavijo novo geslo in znova aktivirajo račune. Prav tako so zagotovili, da baze gesel v času dosegljivosti na spletu s strežnikov ni prenesel nihče, tako da nevarnosti praktično ni.

Heise - Ameriški Nacionalni institut za standarde in tehnologijo (NIST) je leta 2007 razpisal natečaj za matematični algoritem, ki bo postal temelj naslednje verzije zgostitvene funkcije SHA-3. Za staro SHA-1 je bilo pred dvema letoma pokazano, da ni varna in da so kolizije mogoče, medtem ko je SHA-2 grajena na SHA-1 in zato tudi vzbuja pomisleke. V petek so objavili pet kandidatov, ki so prebili skozi prvi dve fazi in so sedaj v zaključnem stadiju izbiranja.

V finalu so algoritmi BLAKE, Skein (ta dva sta podobna SHA-2), Grøstl, JH in Keccak (fundamentalno različen pristop od SHA-2). Pri izboru zmagovalca bodo gledali na več odlik: pomembna bosta tako zgledna struktura in stabilnost kakor...

Slo-Tech - Na BBC News poročajo o raziskovalcih z MIT-a, ki poskušajo oživiti več kot 100 let staro idejo Nikole Tesle (še dva znanstvenika, ki sta se s tem ukvarjala, sta bila Hidetsugu Yagi ter Heinrich Rudolf Hertz). No, sistem naj bi deloval v zaprtih prostorih, torej gre sklepati, da jim izgub pri prenosu še vedno ni uspelo zmanjšati. Vseeno se utegne zgoditi, da bomo čez nekaj let v zaprtih prostorih prenehali uporabljati razdelilce in podaljške, kot smo to počeli do sedaj. Zanimiva bo tudi razprava okrog zdravja, saj gre pri teh prenosih za precej velike moči.

Slo-Tech - Pred nekaj dnevi je izšla prva t.i. milestone različica programske opreme FreeDOS. Gre za odprtokoden operacijski sistem, ki je 100% kompatibilen s starejšimi DOS-i, uporablja pa se ga predvsem za poganjanje starih iger (ah, nostalgija...), posebnih programov (recimo računovodskih) in za uporabo na namenskih računalnikih, kjer naprednejši operacijski sistemi niso potrebni. Več o programu, ki ga na cenejše konfiguracije pogosto nalagajo domači prodajalci, lahko izveste na uradni strani, na voljo pa je tudi brezplačen download najnovejše različice 1.0.

Mozilla.org - Nova verzija priljubljenega odprtokodnega pregledovalnika spletne pošte je izšla. Vsebuje obilo novosti, med drugim:

• naprednejše samodejne posodobitve
• vgrajen detektor za phising
• možnost brisanja priponk iz sporočil
• izboljšana podpora RSS
• preverjanje črkovanja
• podporo podcastom
• in še kaj.

Novo različico lahko snamete z uradne strani.

Slashdot - Wikipedija je ta teden uvedla svojo novo zaščito pred spletnim vandalizmom, ki se pojavlja na Wikipedijinih straneh z občutljivejšo vsebino. Teh zaščitenih strani tako ne bo mogoče več prosto urejati; to možnost bodo imeli le dlje kot štiri dni registrirani uporabniki Wikipedije, dočim jih bodo neregistrirani uporabniki lahko le brali.

Uredniki poudarjajo, da bodo pri uporabi tega ekstremnega ukrepa sila previdni in da ga bodo uporabili zgolj v boju zoper vandalizem na že oskrunjenih straneh. Vsebin, ki še niso bile tarča vandalizma, ta zaščita ne bo prizadela. Trenutno so s to tehnologijo zaščiteni članki o ameriškem predsedniku, Hitlerju in Jezusu, v prihodnosti pa kaže pričakovati še kakšnega.

Slo-Tech - Game Developers Conference Alpe Adria se bo pri nas dogajal prvič. Podobna odvijanja se čez lužo vrstijo že kar nekaj let, tokrat pa bo Ljubljana gostiteljica dogodka, katerega namen je spodbujati rast industrije interaktivne zabave - iger. To je idealna priložnost za širjenje koristnih informcij skozi predavanja ali okrogle mize ter seveda možnost za sklepanje poslov. Tematika se tako deli na programiranje, ustvarjalno stran ter poslovno stran, kjer razvijalec računalniških iger poskuša prepričati založnika, da je prav njihova igra prihajajoča uspešnica.

V upanju, da dogodek privabi čim širše občinstvo, GDCAA vabi vse, ki bi bili pripravljeni sodelovati pri pripravi kvalitetnih predavanj.

Slashdot - Vsak normalen paranoik ve, da ga lahko pred branjem ali nadzorovanjem misli s strani vladnih satelitov precej učinkovito zaščiti čelada iz aluminija a.k.a tin foil hat. No, vsaj mislili so tako...dokler ni nekaj rezervnih paranoikov na inštitutu MIT preverilo, ali to resnično drži...

...In ugotovitve so za vse normalne paranoike uničujoče! Alu kapa namreč ne samo, da ne ščiti pred daljinskim nadzorovanjem misli preko satelitov - celo ojača določene frekvenčne pasove! Da je zadeva še hujša, ojača ravno tiste, ki jih uporablja vlada ZDA. To so frekvence od 1.2 do 1.4 GHz, ki jih aluminijasta "zaščita" ojača do 20db, frekvenco 2.6GHz, uporabljeno za mobilne telefone pa za 30 db. In vsi...

Slo-Tech - Nemškim raziskovalcem je uspel nov preboj na področju zgoščevalnih funkcij. Pozimi se je začelo z nekaj teoretičnimi prebliski in končalo z metodo za generiranje certifikatov X.509, med katerimi lahko prosto prenašamo podpise, ker imajo zgoščeni z funkcijo MD5 enako vrednost (zaradi nekaterih težav z ohranjanjem tajnosti zasebnih ključev, če lahko napadalec izbere besedilo, ki ga bomo podpisali, se vedno podpisuje kratek niz znakov, dobljen iz dokumenta s kriptografsko zgoščevalno funkcijo in ne dokumenta samega).

V vmesnem času je raziskovalcem kar nekaj zgoraj omenjenih metod uspelo v rahlo modificirani obliki uporabiti tudi za igranje z zgoščevalno funkcijo SHA1.

V zadnjih dneh pa je bila celotna zgodba dvignjena na popolnoma nov nivo. Raziskovalcem je namreč uspelo ustvariti dva smiselna dokumenta z enako MD5 vrednostjo (torej lahko zanju uporabimo isti elektronski podpis).

Glede na to da sta algoritma MD5 in SHA-1 le majhna popravka algoritma MD4, lahko v bližnji...

Slashdot - Bruce Schneier v svojem blogu poroča, da naj bi kitajski raziskovalci Xiaoyun Wang, Yiqun Lisa Yin in Hongbo Yu uspeli najti kolizijo v SHA-1 funkciji.

To pomeni, da so raziskovalci našli dve različni sporočili, za kateri algoritem SHA-1 vrne isto vrednost, njihova metoda iskanja pa je veliko hitrejša kot metoda grobe sile, ki temelji na preiskušanju vseh možnih kombinacij.

To v praksi pomeni, da je mogoče npr. neko potrdilo banke tako prirediti, da bo izračun digitalnega podpisa pokazal, kot da je potrdilo poslala banka, čeprav bo le-to v resnici pa bo ponarejeno. Z drugimi besedami - razbitje SHA-1 je pomemben korak na poti k možnosti ponarejanja digitalnih podpisov.