Attacchi su "firme" del modulo sha256 (messaggio || secret)?

1

Sto testando un'applicazione che genera firme nel modo seguente

signature = sha256(message || shared_secret)

So che se la firma è stata costruita con il messaggio aggiunto al segreto condiviso (cioè signature = sha256(shared_secret || message) ), questo sarebbe vulnerabile a un attacco di estensione della lunghezza , ma non sembra applicabile qui.

Questo modo di generare firme è vulnerabile? Penso che sia comunque una cattiva idea utilizzare una funzione di hash anziché HMAC per generare firme, ma mi piacerebbe sapere se questo è vulnerabile a particolari tipi di attacchi.

    
posta christophetd 30.12.2016 - 10:56
fonte

1 risposta

4

Da Wikipedia :

The alternative, appending the key using MAC = H(message ∥ key), suffers from the problem that an attacker who can find collision in the (unkeyed) hash function has a collision in the MAC (as two messages m1 and m2 yielding the same hash will provide the same start condition to the hash function before the appended key is hashed, hence the final hash will be the same).

    
risposta data 30.12.2016 - 13:28
fonte

Leggi altre domande sui tag