<div dir="ltr">Very cool! Thanks for sharing, Aanchal.<div><br></div><div>Question: can we leverage the break to convince the powers-that-be at BU IS&amp;T to upgrade their servers to negotiate better ciphers? My connection to <a href="https://www.bu.edu">https://www.bu.edu</a>¬†uses okay-ish* public key crypto, but it then uses HMAC over SHA-1 for symmetric authentication.**</div><div><br></div><div>Good thing it is not used for anything like BUWorks (which contains my PII and allows someone to choose where my salary is direct-deposited) or FacultyLink (where I enter the students&#39; final grades at the end of the semester).***</div><div><br></div><div>Screenshot attached from Google Chrome.</div><div><br></div><div>Mayank</div><div><br></div><div>* I&#39;m trying to be generous here. Google is less generous.</div><div><br></div><div>** I know that HMAC doesn&#39;t require SHA-1 to be collision resistant (<a href="http://cseweb.ucsd.edu/~mihir/papers/hmac-new.html">http://cseweb.ucsd.edu/~mihir/papers/hmac-new.html</a>). Still, their cipher negotiation is massively outdated in general. What&#39;s that saying: never let a crisis go to waste.</div><div><br></div><div>*** The web login page negotiates AES256-GCM, but then the actual grading page itself negotiates the same ciphers as the main page.</div><div><br></div><div><img src="cid:15a6ba05f2ad0cad2201" alt="pasted1" class="" style="max-width: 100%; opacity: 1;"></div><div><br></div><div><br><div class="gmail_quote"><div dir="ltr">On Thu, Feb 23, 2017 at 10:04 AM Aanchal Malhotra &lt;<a href="mailto:aanchal4@bu.edu">aanchal4@bu.edu</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="gmail_msg"><a href="http://shattered.io/" class="gmail_msg" target="_blank">http://shattered.io/</a><br class="gmail_msg"><br class="gmail_msg">SHA-1 collision now a reality. Colliding PDFs, infographics, etc..<br class="gmail_msg">Good thing it is not used for anything like git or PGP.<br class="gmail_msg"><div class="gmail_msg"><br class="gmail_msg"><br class="gmail_msg"></div></div>
_______________________________________________<br class="gmail_msg">
Busec mailing list<br class="gmail_msg">
<a href="mailto:Busec@cs.bu.edu" class="gmail_msg" target="_blank">Busec@cs.bu.edu</a><br class="gmail_msg">
<a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" rel="noreferrer" class="gmail_msg" target="_blank">http://cs-mailman.bu.edu/mailman/listinfo/busec</a><br class="gmail_msg">
</blockquote></div></div></div>