From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vitus@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: Debian amavisd-new at cryptocom.ru
Date: Tue, 19 May 2009 11:06:34 +0400
From: "Victor B. Wagner" <vitus@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20090519070634.GA16366@cryptocom.ru>
References: <200905190859.22684.lav@altlinux.ru>
	<87pre57fzq.fsf@vertex.dottedmag.net>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <87pre57fzq.fsf@vertex.dottedmag.net>
User-Agent: Mutt/1.5.13 (2006-08-11)
Subject: Re: [devel] =?koi8-r?b?c3NoLcvMwN46IGRzYSDJzMkgcnNh?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 19 May 2009 07:06:51 -0000
Archived-At: <http://lore.altlinux.org/devel/20090519070634.GA16366@cryptocom.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 2009.05.19 at 13:40:09 +0700, Mikhail Gusarov wrote:

> 
> Twas brillig at 08:59:19 19.05.2009 UTC+04 when lav@altlinux.ru did gyre and gimble:
> 
>  VL> Добрый день!  А почему мы вдруг вместо dsa-ключа стали
>  VL> рекомендовать делать rsa?
> 
> DSA1024 ограничивает размер криптохэша 160 битами, поэтому при его
> применении не получится сменить SHA-1 на что-то другое.

Ну и что? В нашем случае можно вообще MD5 спокойно пользоваться - не
финансовые документы подписываем.

А для SHA-1 пока никто ни с каким кластером не продемонстрировал даже
такой атаки, которая продемонстрирована для MD5 - одновременной 
генерации двух документов дающих одинаковую хэш-сумму.

То есть для MD5  имеется атака на неотрекаемость подписи, а не на то, что она
аутентифицирует отправителя. А для SHA-1 уже года два про новые
результаты в этом направлении ничего не слышно.

Если еще учесть формат данных, подписываемых в процессе разработки
дистрибутива, атаки посредством коллизии можно не опасаться совсем.

В то время как работы по факторизации ведутся весьма активно.
Лично я полагаю, что RSA-2048 взломают быстрее, чем научатся эффективно
подделывать SHA-1, тем более под такими форматами как plain text и rpm.
Я бы не стал зарекаться, что и RSA-4096 переживет SHA-1.

Это, естественно, все касется GPG подписи, а не SSH. SSH или TLS взломать
через атаку на хэш еще труднее. А вот атака на долговременную 
ключевую пару от протокола не зависит.


> Upstream GnuPG уже сменил тип ключа по умолчанию на RSA.

Нет бы ECDSA поддержкать. Там размер хэша определяется свойствами
используемой эллиптической кривой, и кривых больше 256 бит
стандартизировано полно.