È bcrypt sicuro con l'attacco di compleanno a 64 bit della cifratura a blocchi?

6

Ricerche recenti hanno reso evidente che gli attacchi di compleanno sono ora "fattibili" su cifrari a 64 bit utilizzati da Blowfish. (il documento in pdf)

Al lavoro usiamo BCrypt per l'hashing delle password, poiché pensavo che per l'hashing delle password fosse meglio / più sicuro dato che utilizza Blowfish.

So che l'hashing e la crittografia sono due cose diverse, ma siccome non sono un esperto di sicurezza non so se è necessario modificare nessuno dei nostri processi di sviluppo e, in tal caso, cosa fare al riguardo.

Quindi in pratica, BCrypt (e probabilmente altri metodi di hashing) sono affetti da questo?

    
posta CuccoChaser 24.08.2016 - 17:36
fonte

1 risposta

4

Sì, bcrypt è ancora al sicuro. Blowfish viene utilizzato in modo fondamentalmente diverso all'interno di bcrypt rispetto alla crittografia simmetrica. L'attacco di compleanno richiede che a un utente malintenzionato sia consentito crittografare centinaia di gigabyte di dati con la stessa chiave, quindi esaminare le centinaia di gigabyte di output di testo cifrato per trovare un blocco di testo cifrato.

Queste condizioni semplicemente non esistono nella funzione di hashing di bcrypt, quindi anche se l'algoritmo sottostante è Blowfish, l'attacco non è applicabile.

    
risposta data 24.08.2016 - 17:55
fonte

Leggi altre domande sui tag