<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 10, 2015 at 10:26 PM, Peter Todd <span dir="ltr"><<a href="mailto:pete@petertodd.org" target="_blank">pete@petertodd.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">It's worth considering that Bitcoin's SHA256 proof-of-work *is*<br>
performing some very usful mathematical research with real-world<br>
implications that answers the following question:<br>
<br>
    Is SHA256 broken?<br><br></blockquote><div><br></div><div>BitCoin has also shown that the typical PBKDF2-SHA256(1000) is essentially broken.  About 1/2-ish of all user passwords are likely to be in an attacker's 5-million-ish entry dictionary.  See 10-million-combos.zip - over 2.5 million of the first 5 million users' passwords occur in the second 5 million.  These passwords can be brute-force guessed by ASICs in about 2.5 million guesses, where the guessing hardware costs $1 per 1 billion SHA256 per second.  An average password in the dictionary is broken in 5 seconds (two SHA-256 calls per guess) on $1 worth of hardware, assuming the attacker has bought enough of them to get to the economy of scale that the BitCoin miners have achieved.</div><div><br></div><div>We didn't know this before BitCoin.  I did some back-of-the-envelop calculations, but never guessed ASIC attacks could be this brutal.</div><div><br></div><div>Bill</div></div><br></div></div>