TigerTeam - suomalainen tietoturvablogi

Parasta sitten viipaloidun leivän?

Lähimaksaminen on uusiin maksukortteihin tuleva ominaisuus. Siinä pienehköt maksut voidaan hoitaa koskettamalla kortilla lukijaan. Maksutapahtuman hyväksyntään ei tarvita PIN-koodia.

Lähimaksaminen tuo selkeitä hyötyjä sekä kauppiaalle että kortinhaltijalle. Molemmille tulee etua siitä, että maksutapahtuma on erittäin nopea. Kortinhaltijalle tulee lisäetu siitä, ettei PIN-koodia tarvitse maksutilanteessa suojata.

Kioskimyynti sekä ravintolamyynti ovat tyypillisiä maksutilanteita, joihin lähimaksamisen nopeus ja helppous vaikuttavat erittäin positiivisesti.

Lähimaksamisessa on rajoituksia, joilla parannetaan maksamisen turvallisuutta:

• kertaostos voi olla korkeintaan 25 €

• lähimaksamisen voi tehdä korkeintaan kolme kertaa, jonka jälkeen vaaditaan PIN-koodi

Rajoitusten tarkoitus on pitää vahingot kohtuullisina, mikäli kortti katoaa tai varastetaan.

Lähimaksaminen lienee suunnilleen viipaloidun leivän mittapuussa oleva keksintö.

Entäpä turvallisuus?

Kaikki lähimaksamisessa ei ehkä kuitenkaan ole aivan niin ruusuista kuin korttiyhtiöt antavat ymmärtää. Lähimaksamisen tekniikka jättää tietoturvallisuuteen muutamia aukkoja, jotka kortinhaltijan tulisi tietää ja tiedostaa.

Spesifikaatioiden mukaan lähimaksaminen voidaan tehdä, kun maksukortti tuodaan alle viiden sentin päähän lukulaitteesta, jolloin maksaminen vaatii kortinhaltijalta aktiivista toimintaa ja tietoisuutta. Käytännössä kannettavalla laitteella voidaan maksutapahtuma tehdä puolentoista metrin etäisyydeltä – eli siis siten, ettei kortinhaltija osallistu mitenkään maksutapahtumaan.

Lähimaksutapahtumassa kortti ja kortinlukija kommunikoivat käyttämällä salaamatonta yhteyttä. Maksutapahtumaa on mahdollista kuunnella passiivisesti yli 15 metrin päästä. Maksutapahtuman aikana kortti lähettää lukijalle mm. korttinumeron ja voimassaoloajan.

Lähimaksukortti ei pysty todentamaan, että kortinlukija olisi legitiimi. Kannettavalla laitteella on mahdollista lukea kortilla olevat tiedot puolentoista metrin etäisyydeltä kortinhaltijan huomaamatta. Lähiluettavien tietojen joukossa ei pitäisi olla kortinhaltijan nimeä, mutta useissa jo liikkeellä olevissa korteissa näin kuitenkin on tilanne. Lisäksi kortilta voidaan lukea korttinumero ja voimassaoloaika.

Mitähän sitä tuli ostetuksi?

Pahantahtoisella toimijalla on käytössään useita toimintamalleja, joilla voidaan varastaa korttiyhtiöiltä rahaa. Helpoin tapa lienee korttinumeron, voimassaoloajan sekä kortinhaltijan nimen luvaton lukeminen ja tietojen käyttö luvattomiin verkkokauppaostoksiin. Kaikissa verkkokaupoissa luvatta saatavissa olevat tiedot eivät riitä ostosten tekemiseen mutta osassa kauppoja ostokset onnistuvat.

Vaikeampi ja riskialttiimpi tapa on tehdä bulvaanin avulla korttimaksusopimus ja tehdä luvattomia maksutapahtumia taskussa olevilta korteilta. Tällainen voisi onnistua jossain turistialueella, jossa maksutapahtuma voisi olla vaikkapa yksittäinen juoma virtuaalisessa ravintolassa.

Kumpaakin rikostekniikkaa vastaan paras puolustautuminen on se, että kortinhaltija seuraa jatkuvasti sekä maksutapahtumiaan että tiliotteitaan ja reklamoi luvattomat tapahtumat.

Siitä vaan vinguttamaan korttia!

Lähimaksamisen hyvät puolet voittavat selvästi haitat.

1) Huolellisella kortinkäyttäjällä turvallisuusriskit menevät korttiyhtiöiden kannettaviksi.

2) Ravintolassa riski PIN-koodin paljastumisesta pienenee merkittävästi.

3) Massatapahtumien kassajonot liikkuvat ripeämmin, kun kenenkään ei tarvitse sählätä PIN-koodinsa kanssa.

Murtosalaus perustuu integraatiolaskennan älykkääseen arvaukseen. Läpimurto tehtiin kun ymmärrettiin hyödyntää kognitiivis-neuraalista paradigmaa uudessa yhteydessä. Menetelmän ydin on toistaiseksi vain erään eurooppalaisen huippuyliopiston signaalispektianalyytikkojen käytössä, mutta analyytikot näkevät jo käytännön sovellutuksia mm. viestiliikenteen salauksessa ja erilaisissa aseteollisuuden kehityskohteissa.

Menetelmän avulla viestit, kuten sähköpostit, pystytään salaamaan niin että vain haluttu vastaanottaja pystyy ne tulkitsemaan. Mullistavan menetelmästä tekee siinä käytetty algoritmi: laaditaan ensiksi “älykäs” arvaus rekursioyhtälön suljetun muodon ratkaisuksi ja sitten osoitetaan arvaus oikeaksi induktiolla. Arvaus löydetään tehtävään koulutetun neuroverkon intuitiivisella työskentelyllä perustuen koulutusmateriaalin samankaltaisiin tapauksiin.

Yritysmaailmassa menetelmän tehokkuus kasvaa eksponentiaalisesti kun koulutusmateriaalina voidaan käyttää koko yrityksen viestiliikennettä. Valtiolliset toimijat pystyvät vastaavasti hyödyntämään neuroverkon koulutuksessa kybertiedustelun tuottamaa, käytännössä rajatonta, tietomassaa.

Neuroverkkoa hyödynnetään viestin ordon, eli O:n, laskennassa. O:n arvoa voidaan arvata eräänlaisen “binäärihaun” avulla, jossa esitetään arvaus ja jos tämä ei tuota haluttua tulosta, esitetään edeltävää nopeammin kasvava funktio. Jos tämä on liian suuri, otetaan em. kahden välistä ehdokas jne. Tekniikka on usein tuloksellinen, koska rekursioyhtälöihin liittyvä aritmetiikka on melko yksinkertaista.

Käytännössä tällä saadaan aikaiseksi se, että väärä arvaus, esimerkiksi verkkorikollisen tekemänä, tuhoaa murtosalatun viestin sisällön. Vain oikean vastauksen tietävä, eli alkuperäinen vastaanottaja, pystyy tulkitsemaan viestin.

Uskomme Nixussa, että murtosalaus tulee mullistamaan sähköisen viestinnän. Lisätietoja aiheesta annamme megafonia käyttäen 1.4. klo 18 Nixun toimiston parvekkeelta (Espoo, Keilaranta 15). Tervetuloa.

RSA-avain perustuu kahteen salaiseen isoon alkulukuun. Julkinen avain on lukupari, johon kuuluu näiden kahden salaisen alkuluvun tulo sekä tiettyjen vaatimusten mukaan valittu eksponentti. RSA-avain paljastuu, jos julkinen avain voidaan jakaa näihin kahteen tekijäänsä.

Nykyisillä laskentatehoilla ja -algoritmeilla 1024-bittinen julkinen avain on vielä juuri ja juuri turvallinen. Parhaimmat käytännöt edellyttävät kuitenkin jo vähintään 2048-bittisiä avaimia. 1024-bittinen avain on kuitenkin erittäin yleinen.

1024-bittinen RSA-avain on desimaalimuodossa yli 300-numeroinen luku. Avaimen tekijöiden tulee olla riittävän suuria, mutta ne eivät saa olla liian lähellä toisiaan. Karkeasti laskettuna sopivia alkulukuja, joista voi rakentaa 1024-bittisen avaimen on luokkaa 10^152.

Oikein toteutettuna RSA-avaingenerointi ammentaa tuosta lukujoukosta satunnaisesti kaksi lukua avaimeksi. Jos kuvitellaan, että maapallolla tarvitaan jokaiselle asukkaalle oma avain ja lisäksi kolme miljardia avainta palvelimille, jokaista avainparia varten jää 10^142 lukua mistä valita.

Ideaalimaailmassa tilanne, jossa kahdessa avainparissa olisi yhteinen tekijä, on siis lähes mahdoton.

Miksi sitten yhteinen tekijä huolestuttaa?

RSA-avainparin julkisen avaimen jakaminen tekijöihinsä on erittäin vaikeaa ja yhtään tapausta, jossa yksittäisen 1024-bittisen avaimen tekijät olisi laskettu ei tunneta (edellyttäen, että avaimen tekijät on valittu asianmukaisesti).

Jos kuitenkin kahdella avainparilla on yhteinen tekijä, Euklideen algoritmi kaukaa menneisyydestä (n. 300 eaa.) on edelleen toimiva menetelmä kahden luvun suurimman yhteisen tekijän ratkaisemiseksi. Kun laskennassa havaitaan, että kahdella RSA-avaimella on yhteinen tekijä, kummastakin avaimesta saadaan se toinen tekijä yksinkertaisella jakolaskulla.

Jos kahdella avaimella on yhteinen tekijä, molemmat avaimet paljastuvat kelle tahansa hyökkääjälle, joka pystyy tekemään vaadittavat yksinkertaisehkot laskutoimitukset.

Nimekäs tutkijaryhmä Arjen K. Lenstran johdolla keräsi Internetistä yli seitsemän miljoonaa RSA-avainta (linkki 16-sivuiseen julkaisuun, pdf). He löysivät lähes 27 000 avainta, joilla oli toisen avaimen kanssa yhteinen tekijä.

Luku osoittaa, että avainten luonnissa satunnaisuus ei ole ollut aitoa satunnaisuutta. Keiden pitäisi huolestua tästä? Ei ainakaan niiden, joiden avainten luonti on tehty asianmukaisesti aidolla satunnaisuudella. Vedonlyöntikerroin sille, että jollakin toisella avaimella olisi sama tekijä on luokkaa 1 vastaan 10^150.

Jos et ole tietoinen siitä, mistä RSA-avaimesi satunnaisuus on saatu, saattaa kannattaa olla huolestunut. Tällaisessa tilanteessa avaimen päivitys asiallisesti generoituun voi olla paikallaan.

Lisää aiheesta Samuel S. Wagstaffin julkaisussa (pdf).

Tässä poikkeuksellisesti englanninkielisessä kirjoituksessamme käsittelemme maailmalla julkaistua iPhonen salausavaimien laitteesta lukemiseen tarkoitettua työkalua:

iOS devices iPhone, iPad and iPod Touch support file system encryption but it is not actually protecting data very well. Apple’s documentation states that data is protected at rest, even when the device is lost or stolen. Unfortunately, that doesn’t hold. Even though algorithm might be decent there are weaknesses in the design. Due to these weaknesses it is possible to gain unauthorized access to the data stored on devices left unattended even when the device is protected with passcode. With help of simple tools data can be compromised within minutes. Naturally some of these tools are freely available.

Starting from iOS 4 the operating system encrypts all files on the device. The encryption key for the file system is stored on the device. The problem is, the encryption key is not using any passphrase and encryption is always opened automatically without any user input when the device starts up. It mostly gives you just a false sense of security. Luckily, emails and attachments stored on device are still protected further with user’s passcode key if passcode lock is enabled. This passcode key then protects emails when a device is locked and allows access only when user unlocks the device with passcode.

What is the role of passcode

It is possible to circumvent the normal iOS boot procedure and attach additional software to the operating system. One such method is jailbreaking and others exist that do not actually even write anything to the device storage. When circumventing the boot procedure it is then possible to install SSH server or other software to access data stored on the device even when it is locked with passcode. The passcode is not protecting because it simply locks the user interface and the files are accessed over network or USB connection behind the scenes. All the files apart from emails are readable. It then allows to copy valuable information such as call history, text messages, contacts, calendar and location history. Jailbreaking also allows installing some additional software such as tools to spy the victim. There are easy to follow instructions and tools available to perform the jailbreak and installing SSH server. This won’t take long and 15 minutes or less should be enough when properly prepared.

Now there’s one new method available. ElcomSoft has made tools to read the encryption keys from the device to access encrypted file system dumps. The advantage is that you can dump the encrypted file system to work on a bit-to-bit copy of data. It then gives you more time and possibility to access also data that is protected by user’s passcode key such as emails and attachments. However, you need to brute-force the passcode (four digits by default) or get access to escrow keys stored in iTunes that syncs with the device. It is then recommended to disable four-digit simple passcode and require complex passcodes much harder to brute-force.

Summary:

Should you leave iPhone unattended for a while most of your data could be compromised.

Lauri Kiiski works as a security consultant in Nixu’s Inspect business unit.

Parhaillaan meneillään olevaa SHA-3-kilpailua ja FIPS180-4-julkistusta koskevat uutiset herättävät kysymyksiä nykyisten tiivistefunktioiden (hash) tilasta: mikä on turvallinen, mitä niistä tulisi käyttää, mitä eri vaihtoehdoista tiedetään ja mitä lähitulevaisuus tulee ehkä muuttamaan.

Pureudutaanpa aluksi nykyisin salausmaailmassa käytössä oleviin tiivistefunktioihin ja siihen mitä niistä tiedetään:

Tiivistefunktiot ovat menetelmä kahden tietueen yhteneväisyyden toteamiseksi. Tämä tehdään yksisuuntaisella funktiolla, joka useimmissa tapauksissa antaa syötettä pienemmän vastauksen – tietoa siis menetetään. Tämän tuloksena funktioille on tunnusomaista ns. monesta-yhteen-periaate, jossa useasta eri syötteestä muodostuu sama tiiviste. Sama tilanne voi olla tarkistussummia laskettaessa – kahdella täysin eri tiedostolla onkin sama tarkistussumma. Tällaista tilannetta kutsutaan törmäykseksi, salaustermein kollisioksi (collision). Kasvattamalla tarkistussumman pituutta pienennetäänkin törmäyksen todennäköisyyttä.

Nykyään laajassa yleisessä käytössä on useita eri tiivistefunktioita:

MD5 (Message Digest 5) oli pitkään standardinomainen tiivistefunktio tuottaen 128-bittisiä tiivisteitä. Se kehitettiin vuonna 1991. MD5:ta käytetään verkossa vielä hyvin usein mm. tiedostojen alkuperän varmistamiseen, vaikka kryptologit ovat suositelleet käytöstä luopumista jo vuodesta 1996 lähtien. Jo vuonna 2004 oli mahdollista luoda helposti saatavilla olevalla laitteistolla törmäyksiä alle tunnissa ja MD5:tä alettiin pitää turvattomana. Kuitenkin vaihtoprosessin vaikeus on osoittanut kuinka tärkeää pitkän tähtäimen suunnittelu tiivistefunktion valinnassa ja käyttöönotossa on. Tällä hetkellä peruskannettavalla voi laskea tällaisia törmäyksiä sekunneissa ja tarkoitukseen valjastetuilla erikoislaitteistoilla hyökkäys vie alle sekunnin.

Hyppy 90-luvun alkuun

SHA-1 puolestaan on 160-bittinen tiivistefunktio. Se pohjautuu alun perin vuonna 1993 nimellä Secure Hash Standard julkaistuun tiivistefunktioon, josta korjattiin paria vuotta myöhemmin sisäistä pakkaustoimintoa koskeva virhe. Yleisyydessä SHA-1 pitää kakkossijaa heti MD5:n jälkeen ja vaikka se on MD5:tä turvallisempi, on olemassa lukuisia teoreettisia hyökkäyksiä, joilla murtaminen helposti saatavilla olevaa laitteistoa hyödyntäen on mahdollista. Siirtyminen turvallisempiin tiivistefunktioihin on suositeltavaa.

SHA-2 on tarkkaan ottaen kokoelma keskenään samantyyppisiä tiivistefunktioita, joiden tuotos on 224-, 256-, 384- tai 512-bittinen. Siksi puhutaan myös muunnoksista SHA-224, SHA-256, SHA-384- ja SHA-512.

FIPS180-4-toteutus laajentaa valikoimaa hieman, jotta mm. 64-bittisen nykylaitteiston suorituskyky voidaan ottaa paremmin huomioon.

Bittisyyskirjo helpottaa tulevaisuudessa edessä olevaa algoritmin vaihtoa, koska olemassa oleviin protokolliin ei tarvitse tehdä suuria muutoksia. Nykykäyttöjärjestelmät tukevat algoritmia laajasti ja se on suositeltavin algoritmi useimmissa tapauksissa, kunhan tiivisteiden pituus valitaan tulevaisuutta silmällä pitäen oikein.

SHA-3-funktiota ei ole itse asiassa vielä julkaistu.

Meneillään on parhaillaan kilpailu, jossa SHA-2:n seuraajaa etsitään. Nämä tiivistefunktiot eivät perustu aikaisempaan SHA-perheeseen.

Tietoa kilpailumenettelystä on saatavissa yhdysvaltalaisen NIST:n (Kansallinen standardointi- ja teknologiainstituutti The National Institute of Standards and Technology) verkkosivuilta ja lopullinen valinta on odotettavissa ensi vuonna. Olipa valittava tiivistefunktio mikä tahansa suositeltava siirtymäjakso SHA-2:sta tulee kestämään viidestä kymmeneen vuotta.

Mikä sitten valita?

Jos olet ottamassa käyttöön uutta tietojärjestelmää tai valitsemassa tiivistefunktiota useimmissa tapauksissa SHA-2-perheen valinta on suositeltavaa. Järjestelmän elinkaari tulee suunnitella huolellisesti. Kuten historia on osoittanut tiivistefunktion valinnalla on vaikutuksia vielä 20 vuoden kuluttuakin, näinhän kävi MD5:n kohdalla. On oltava selkeä suunnitelma tilanteeseen kun – ei siis jos – valittu funktio osoittautuu alttiiksi murtamiselle. SHA-1:tä tulisi käyttää vain rajoitetusti, yleensä taaksepäin yhteensopivuuden takaamiseksi. MD5:ta ei kuitenkaan tule käyttää missään tapauksessa!

Inspect-yksikön tietoturvakonsultti Samuell “Sam” Lavitt on aikaisemmin kirjoittanut blogissamme näkemyksiään kehittyneistä evaasiotekniikoista. Käännös: Juha-Matti Laurio

Pilvilaskenta on vienyt salasanojen murtamisen aivan uudelle tasolle. Ensin avattiin WPAcracker.com, joka lupaa murtaa WPA- ja WPA-PSK-salauksen keskimäärin 20 minuutissa 17 dollarin hintaan – siis reilulla kympillä. WPAcracker.com tarjoaa 400 prosessorin klusterin ja satojen miljoonien WPA-salasanojen sanakirjan kenen tahansa maksavan asiakkaan käyttöön.

Nyt on salasanojen testaajille julkaistu uusi lelu, kun Amazon avasi hiljattain uuden NVIDIA Tesla M2050 GPU -prosessoreihin perustuvan pilvipalvelunsa.

Tietoturva-asiantuntijat demosivat uuden klusterin salasanojen murtokykyä pian avaamisen jälkeen. Työkaluksi oli valittu Cryptohaze Multiforcer, joka asennettiin CUDA-rajapintaa hyväksi käyttäen EC2:n GPU -klusterin ajettavaksi. 14 SHA-1-hasheillä suojatun, lyhyen (yhdestä kuuteen ASCII-tekstimerkkiä) salasanan murtaminen klusterilla kesti 49 minuuttia. Hinta? Alle 2 dollaria. Salasanojen murtoa massoille todellakin.

Onko salalauseesi riittävän vaikea?

Nyt viimeistään on aika ryhtyä käyttämään pitkiä salasanoja. Itse asiassa suosittelen unohtamaan salasanat ja siirtymään salalauseiden käyttöön:

esimerkiksi “TÄMÄ_on_minun_43_merkkiä_pitkä_salalauseeni”.

Vaikka SHA-1-algoritmi on osoitettu heikoksi kollisiohyökkäyksiä vastaan jo jonkin aikaa sitten, tarjoaa sekin yhä huomattavaa suojaa, jos salalause vain on riittävän pitkä.

Salalauseen pituus toimii tehokkaana suojana brute force -hyökkäyksiä vastaan, mutta salalauseet on suojattava myös niin sanottuja sanakirja- ja rainbow table -hyökkäyksiä vastaan. Varmista, että käytät salalauseessasi erikoismerkkejä kirjainten ja numeroiden lisäksi. Käytä harvinaisia kieliä (esim. Cobol, suomi) tai vaihtoehtoisesti haasta murtajat käyttämällä esimerkiksi heksadesimaalisalasanoja. Mitä vain, mutta pyri keksimään mahdollisimman ainutlaatuisia tapoja kirjoittaa tekstisi tavalla, jolla vältetään salalauseidesi löytyminen murtajien sanakirjoista ja ennalta lasketuista rainbow table -taulukoista. Tällaisten murtokeinojen käyttö hash-suojattujen salasanojen murtamisessa on tietojärjestelmien laskutehon kasvettua kovinkin yleistynyt.

Entä käyttääkö SHA-2:ta?

Mitä erilaisiin hash-algoritmeihin tulee, kävimme mielenkiintoisen keskustelun viime viikolla kollegani kanssa täällä Nixussa block cipher -algoritmien käytöstä hash-summien laskemiseksi erilaisille syötteille. Siitä lisää blogissa ehkä myöhemmin, mutta mainittakoon vielä, että SHA-1-algoritmiin ei tulisi enää luottaa arkaluontoisen tiedon salauksessa. Kuten yllä mainittiin on algoritmi osoittautunut haavoittuvaksi ns. collision-hyökkäyksille jo useita vuosia sitten. Niinpä suosittelenkin SHA-2-algoritmien käyttöä toistaiseksi ennen kuin SHA-3-algoritmi julkaistaan näillä näkymin vuonna 2012.

Ville Hollanti työskentelee tietoturvakonsulttina Nixun Inspect-yksikössä. Hänellä on useiden vuosien kokemus tunkeutumisenestopalveluiden kehittämisestä ja toteuttamisesta sekä tietoturvakonsultoinnista yritystasolla.

NIST (The National Institute of Standards and Technology) kertoo raportissaan SHA-3:n valinnan evaluointikriteereistä sekä yleisistä valintaperusteista ensimmäisen kandidaattikierroksen jälkeen. Kriteerejä ovat algoritmin turvallisuus, kustannustehokkuus ja suorituskyky sekä toteutusmalli.

21-sivuinen raportti NISTIR 7620 on ladattavissa PDF-muodossa tästä osoitteesta.

Toiselle kandidaattikierrokselle pääsi kesällä 14 algoritmia kaikkiaan 51 ehdokkaasta.

Tunnettuja hyökkäysmenetelmiä ehdokkaille seuraa itävaltalainen ECRYPT-wiki.

Kerroimme viime kuun puolella SHA-3:n seuraajan valintaprosessin etenemisestä. Eilen uutta tutkimustietoa on saatu AES-salausmenetelmän purkamisesta.

AES:stä (Advanced Encryption Standard) on olemassa kolme eri versiota avainpituuden mukaan - AES-128, AES-192 ja AES-256. Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich ja Adi Shamir ovat nyt julkaisseet paperin, jossa uutta hyökkäysmenetelmää käsitellään.

Linkki PDF-dokumenttiin (17 sivua) on tässä.

Tutkijoiden mukaan myös AES-256:ta vastaan voidaan hyökätä lähes samalla kierrosmäärällä (round), jota ennen on käytetty AES-128:aa vastaan.

Täytyykö AES:ään tukeutuvien käyttäjien sitten olla huolestuneita uusista tutkimustuloksista? Salausmenetelmiin perehtynyt tietoturvaguru Bruce Schneier tutustui ranskalais-, luxemburgilais- ja israelilaistutkijoiden paperiin jo ennen sen julkaisua ja piti sitä hyvin korkealuokkaisena. Kuten Schneierkin toteaa ei mihinkään paniikkiin kuitenkaan ole aihetta, ei edes AES-256:n osalta.

Aikaisemmin tutkimustyönsä ovat julkaisseet (.pdf) Alex Biryukov ja Dmitry Khovratovich, molemmat Luxemburgin yliopiston algoritmi-, salaus- ja tietoturvalaboratorion alaisesta CryptoLUX-ryhmästä. Biryukov vetää samalla kyseistä ryhmää.

19-sivuinen dokumentti on nimetty Related-key Cryptanalysis of the Full AES-192 and AES-256.

Dokumentteihin perehtyminen edellyttää aikaisempaa kokemusta kryptografiasta ja AES-hyökkäysmenetelmistä.

SHA-1-algoritmin (Secure Hash Algorithm), tarkemmin SHA-1-tiivistefunktion purkamisessa on otettu hiljattain uusia edistysaskelia. Mistään aivan tuoreesta algoritmistahan ei nyt puhuta, sillä SHA-1:n julkaisu juontaa juurensa jo vuoteen 1995, jolloin NSA julkisti algoritmin.

Purussa tarvitaan nyt luvun 2^52 verran operaatioita. Loppukesällä 2005 lukema oli vielä 2^63. Uuden tutkimuksen ovat julkaisseet australialaiset Cameron McDonald, Philip Hawkes ja Josef Pieprzyk.

Differential Path for SHA-1 with complexity O(252) -niminen dokumentti PDF-muodossa on ladattavissa täällä.

SHA-1:n seuraajan julkaisua on joka tapauksessa odoteltava vielä muutama vuosi.