DEV ESCRIBE CÓDIGO PARA ETHEREUM CODE INSEGURA

Wed 27 December 2017
par Cruz dans misc

Dev escribe código para Etereum insegura SHA-1 función hash criptográfica

La interacción con los sistemas de legado, pero no todos piensan que es una buena idea

Arma de las guerras de información de Shutterstock

Solidez utilizando lenguaje de programación de Etereum, un desarrollador ha polémico código escrito para hacer firmas de autenticación de datos con la función hash criptográfica SHA-1 insegura.

Nick Johnson, el desarrollador Etereum con sede en Londres que fue autor del código, dijo a The Register : "SHA1 se utiliza en silencio por una gran cantidad de sistemas heredados, incluyendo muchos certificados SSL / TLS, partes de DNSSEC, y Git Ser capaz de comprobar valores hash producidos. los que están en el sistema permite a Ethereum Code opiniones - no es una estafa interactuar con ellos en el bloque de la cadena Etereum ".

Pero no todos están de acuerdo en que es una buena idea. bloque investigador postdoctoral Patrick cadena de la University College London McCorry dijo a The Register : "Esto se reduce a un argumento de seguridad frente a la compatibilidad.

"Los ataques sólo mejoran y nosotros como una comunidad deben hacer todo lo posible para alejarse de algoritmos rotos." Pero reconoció que "muchos protocolos en la web se basan en silencio SHA-1 y esto funciona bien porque el coste (y tiempo) para encontrar una colisión es silenciosa absurdamente alto".

La Agencia de Seguridad Nacional de Estados Unidos y el Instituto Nacional de Estándares y Tecnología se acercó con los algoritmos básicos para hacer las firmas SHA-1 en los años 90 . Son ampliamente utilizados para demostrar lo hizo - datos de código de software a los correos electrónicos y los certificados de sitios web - ya no haya sido alterado.

Pero en febrero, los investigadores encontraron una manera de cambiar un PDF y dejar su firma SHA-1 de la misma - una "colisión" - lo que significa SHA-1 es ahora esencialmente inútil para probar los documentos que no han sido alteradas.

Una cuestión que se abrió en noviembre de 2016 el repositorio GitHub Etereum para un contrato precompilado para el algoritmo de hash SHA-1, con el fin de verificar los diferentes servicios a la cadena a un costo menor que el funcionamiento en la red.

Johnson admitió: "SHA-1 Definitivamente no se debería utilizar para nuevas aplicaciones Hay una gran cantidad de sistemas existentes por ahí que lo utilizan, sin embargo, y es útil ser capaz de interactuar con esos sistemas, sin esperar a que se actualicen a una. nueva función hash que se apoya en Etereum ".

A pesar de que cuenta con un sistema descentralizado para la ejecución de aplicaciones de juegos de vídeo a libros digitales con un poco de privacidad de aplicaciones cotidianas, Etereum ciertamente no es hermético. La red deshace su libro de contabilidad para deshacer un robo de $ 50 en 2016 y un hackathon el mes pasado encontrado algunas nuevas formas para la redacción de contratos inteligentes maliciosos que pueden robar fondos.

"Si queremos que los contratos que sean compatibles con los actuales (y el legado de infraestructura), entonces tiene que ser apoyado", dijo McCorry. ®