From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham version=3.2.5 X-Virus-Scanned: Debian amavisd-new at cryptocom.ru Date: Tue, 19 May 2009 11:06:34 +0400 From: "Victor B. Wagner" To: devel@lists.altlinux.org Message-ID: <20090519070634.GA16366@cryptocom.ru> References: <200905190859.22684.lav@altlinux.ru> <87pre57fzq.fsf@vertex.dottedmag.net> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <87pre57fzq.fsf@vertex.dottedmag.net> User-Agent: Mutt/1.5.13 (2006-08-11) Subject: Re: [devel] =?koi8-r?b?c3NoLcvMwN46IGRzYSDJzMkgcnNh?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 19 May 2009 07:06:51 -0000 Archived-At: List-Archive: List-Post: On 2009.05.19 at 13:40:09 +0700, Mikhail Gusarov wrote: > > Twas brillig at 08:59:19 19.05.2009 UTC+04 when lav@altlinux.ru did gyre and gimble: > > VL> Добрый день! А почему мы вдруг вместо dsa-ключа стали > VL> рекомендовать делать rsa? > > DSA1024 ограничивает размер криптохэша 160 битами, поэтому при его > применении не получится сменить SHA-1 на что-то другое. Ну и что? В нашем случае можно вообще MD5 спокойно пользоваться - не финансовые документы подписываем. А для SHA-1 пока никто ни с каким кластером не продемонстрировал даже такой атаки, которая продемонстрирована для MD5 - одновременной генерации двух документов дающих одинаковую хэш-сумму. То есть для MD5 имеется атака на неотрекаемость подписи, а не на то, что она аутентифицирует отправителя. А для SHA-1 уже года два про новые результаты в этом направлении ничего не слышно. Если еще учесть формат данных, подписываемых в процессе разработки дистрибутива, атаки посредством коллизии можно не опасаться совсем. В то время как работы по факторизации ведутся весьма активно. Лично я полагаю, что RSA-2048 взломают быстрее, чем научатся эффективно подделывать SHA-1, тем более под такими форматами как plain text и rpm. Я бы не стал зарекаться, что и RSA-4096 переживет SHA-1. Это, естественно, все касется GPG подписи, а не SSH. SSH или TLS взломать через атаку на хэш еще труднее. А вот атака на долговременную ключевую пару от протокола не зависит. > Upstream GnuPG уже сменил тип ключа по умолчанию на RSA. Нет бы ECDSA поддержкать. Там размер хэша определяется свойствами используемой эллиптической кривой, и кривых больше 256 бит стандартизировано полно.