Come possiamo ritirare SHA1 preferibilmente a SHA256 o SHA-3?

1

In base al link e link potresti avere due oggetti che generano lo stesso checksum SHA-1. Immagino che questo abbia effetti anche nella generazione delle chiavi.

C'è un modo in cui un progetto che sta iniziando e che usa git potrebbe fare per assicurarsi che usi SHA-256 dall'inizio invece di affidarsi a SHA-1. Se sì, come?

Commenti, le osservazioni sono tutte benvenute.

    
posta shirish 09.03.2017 - 21:19
fonte

2 risposte

3

Il problema con SHA-1 non è un problema a meno che tu non stia provando a generare due pezzi di dati che si scontrano con SHA-1. Questo è molto diverso dal generare un SHA-1 che si scontra con uno SHA-1 esistente, che è ciò che si dovrebbe fare per compromettere sourceforge o github. Questa è una differenza statistica meglio descritta con l'attacco di compleanno ( link ).

    
risposta data 09.03.2017 - 21:44
fonte
0

In un nuovo progetto, è abbastanza facile non usare sha-1: basta non usare sha-1. Nella maggior parte dei casi le chiamate alle librerie saranno piuttosto esplicite, ma assicurati di leggere la documentazione ogni volta che stai facendo un lavoro di crittografia. I luoghi comuni in cui viene visualizzato sono hashing della password (vedi come memorizzare una password ) e hmac.

Hai detto che anche tu sei preoccupato per git. Non c'è nulla che tu possa fare qui, perché git non fornisce un algoritmo hash collegabile o configurabile. Dovresti solo continuare a utilizzare git normalmente e attendere l'eventuale migrazione in un aggiornamento.

    
risposta data 10.03.2017 - 17:05
fonte

Leggi altre domande sui tag