IT SECURITY GigaCon , , hotel Step, Praha

Slides:



Advertisements
Podobné prezentace
PLAYBOY Kalendar 2007.
Advertisements

CIT Paměti Díl X.
Zpracování informací a znalostí Další přístupy k vyhledávání textových dokumentů Doc. RNDr. Jan Rauch, CSc. Katedra informačního a znalostního inženýrství.
TEORIE ROZHODOVÁNÍ A TEORIE HER
SHA-1 Secure Hash Algorithm Martin Raichl. HASH  Hašovací funkce jsou silným nástrojem moderní kryptologie. Jsou jednou z klíčových kryptologických myšlenek.
Mikroprocesory Intel Obr. 1.
*Zdroj: Průzkum spotřebitelů Komise EU, ukazatel GfK. Ekonomická očekávání v Evropě Březen.
Ukončení 1.etapy výuky cizího jazyka
Asymetrická kryptografie
VÝPOČETNÍ PROGRAM AUTOŘI Ing. Ondřej Šikula, Ph.D. Ing. Josef Plášek
Diskrétní matematika Opakování - příklady.
PROGRAM PRO VÝUKU T ČLÁNKU
Lego Mindstorms Martin Flusser.
NAVRHOVÁNÍ HOSPODÁRNÝCH ŘEZNÝCH PODMÍNEK PŘI OBRÁBĚNÍ
Téma 3 ODM, analýza prutové soustavy, řešení nosníků
Zpracování seminárních a kvalifikačních prací
Dynamické rozvozní úlohy
Násobíme . 4 = = . 4 = = . 4 = = . 2 = 9 .
Téma: SČÍTÁNÍ A ODČÍTÁNÍ CELÝCH ČÍSEL 2
Vzdělávací materiál / DUMVY_32_INOVACE_02B14 Příkazový řádek: obsah souborů PŘÍKLADY AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie3.
VY_32_INOVACE_INF_RO_12 Digitální učební materiál
MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA reg. č.: CZ.1.07/1.4.00/ Základní škola, Šlapanice, okres Brno-venkov, příspěvková organizace Masarykovo nám.
VY_32_INOVACE_ 14_ sčítání a odčítání do 100 (SADA ČÍSLO 5)
Tematická oblast: Hardware, software a informační sítě
MAGNET – NOVÁ ŘADA PROGRAMŮ TOPCON
Základní pojmy V informatice.
Základní číselné množiny
Anotace Prezentace, která se zabývá prvočísly a čísly složenými AutorPavel Pavlas JazykČeština Očekávaný výstup Žáci rozliší prvočíslo a číslo složené.
Dělení se zbytkem 6 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
Dělení se zbytkem 5 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
Vlastnosti sčítání a odčítání
26.1 Zaokrouhlování čísel na desítky v oboru do 100
Plošné konstrukce, nosné stěny
Radek Horáček IZI425 – Teorie kódování a šifrování
Internetový obchod v ČR 2005 / 2006 Konference SAEC, , Bratislava Josef Suchánek APEK - Asociace pro elektronickou komerci.
Jazyk vývojových diagramů
Čtení myšlenek Je to až neuvěřitelné, ale skutečně je to tak. Dokážu číst myšlenky.Pokud mne chceš vyzkoušet – prosím.
Posloupnosti, řady Posloupnost je každá funkce daná nějakým předpisem, jejímž definičním oborem je množina všech přirozených čísel n=1,2,3,… Zapisujeme.
Dělení se zbytkem 8 MODERNÍ A KONKURENCESCHOPNÁ ŠKOLA
Zásady pozorování a vyjednávání Soustředění – zaznamenat (podívat se) – udržet (zobrazit) v povědomí – představit si – (opakovat, pokud se nezdaří /doma/)
Název materiálu: OPAKOVÁNÍ 1.POLOLETÍ - OTÁZKY
Deklarace Radim Štefan. 2 Použité zkratky BP – Borland Pascal De – Delphi.
Informatika I Informatika pro 1. ročník 4 letého gymnázia
M O R A V S K O S L E Z S K Ý K R A J 1 Zavedení hash algoritmů SHA - 2 V návaznosti na oznámení Ministerstva vnitra o změně v kryptografických algoritmech,
Bc. Jan Kotlařík. Pojmy  Naslouchání  Falšování  Napodobování – podvádění, zkreslení  Šifrování a dešifrování  Detekce falšování  Autentizace 
DĚLENÍ ČÍSLEM 7 HLAVOLAM DOPLŇOVAČKA PROCVIČOVÁNÍ
Fyzika 2 – ZS_4 OPTIKA.
1 Jádro polygonální oblasti 36VGE ZS 2007/2008 FEL ČVUT Roman Hocke.
VII. Neutronová interferometrie II. cvičení KOTLÁŘSKÁ 7. DUBNA 2010 F4110 Kvantová fyzika atomárních soustav letní semestr
Jazyk vývojových diagramů
Operační mody blokových šifer a hašovací algoritmy
1 © Mediaresearch, a.s., 2008 NetMonitor a AdMonitoring Výsledky za říjen 2008.
Protokoly ověřování Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Přednost početních operací
DĚLENÍ ČÍSLEM 5 HLAVOLAM DOPLŇOVAČKA PROCVIČOVÁNÍ Zpracovala: Mgr. Jana Francová, výukový materiál EU-OP VK-III/2 ICT DUM 50.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
2 Ing. Jan Keprt Centrální správa uživatelů 3 Jak to bylo dosud Bylo třeba nastavení uživatelů provést zvlášť, v každém modulu samostatně. Uživatel si.
Dostupné z Metodického portálu ISSN: , financovaného z ESF a státního rozpočtu ČR. Provozováno Výzkumným ústavem pedagogickým v Praze.
Gymnázium, Broumov, Hradební 218
Šifrovací algoritmy EI4. DES – Data Encryption Standard  Soukromý klíč  56 bitů  Cca 7,2 x klíčů  Rozluštěn v roce 1997.
BIS Elektronický podpis Roman Danel VŠB – TU Ostrava.
Feistlovy kryptosystémy Posuvné registry Lucifer DES, AES Horst Feistel Německo, USA IBM.
Hybridní kryptosystémy
1 Hašovací funkce, MD5 a čínský útok Vlastimil Klíma Seminář Bezpečnost Informačních Systémů v praxi,
ELEKTRONICKÝ PODPIS Jiří Suchomel tel.: Přihlášení na:Tester kraj Heslo:ecibudrap.
Prezentace – X33BMI Petr PROCHÁZKA
Feistlovy kryptosystémy
Seznamte se s novinkami v šifrování a kryptogafie!
HASH.
Transkript prezentace:

IT SECURITY GigaCon , 23.11.2005, hotel Step, Praha Prolomení hashovacích funkcí MD5 a SHA1 a praktický dopad... Pavel Vondruška ČESKÝ TELECOM, a.s. Crypto-World e-mail: pavel.vondruska@ct.cz IT SECURITY GigaCon , 23.11.2005, hotel Step, Praha http://www.konferencje.software.com.pl/main/ http://www.bin.org.pl/cz/

http://paginas.terra.com.br/informatica/paulobarreto/hflounge.html

Vlastnosti hashovacích funkcí Jednou z nejvýznamnějších kryptologických událostí posledních let se stalo objevení kolizí pro sérii hashovacích funkcí MD4, MD5, HAVAL-128 a RIPEMD čínským týmem v srpnu 2004 a druhou (související událostí) je postupné odhalování slabostí hashovací funkce SHA-1. Vysvětlení toho, co se vlastně stalo je věnována tato přednáška. Obsah: Hashovací funkce Prolomení MD5 ! Nalezení kolizí hračka pro notebook („český příspěvek“) SHA-1 (teoretické prolomení) ! Co s tím ? Ostí f

Vlastnosti hashovacích funkcí Obecně se hashovací funkcí chápe zobrazení h, které přiřazuje zprávě jako vstupu výstup označovaný slovem hash (hodnota hashe), resp. je to zobrazení, které řetězci libovolné délky přiřazuje řetězec pevné délky. Kryptografickou hashovací funkcí se pak rozumí funkce, která má navíc i určitou bezpečnostní vlastnost a to ve vztahu k možnostem vyhledávání kolizí. Popis hashovací funkce je veřejně znám, tj. samotný algoritmus není utajován.

Vlastnosti hashovacích funkcí   V1. Praktická efektivnost: Pro dané x je výpočet h(x) efektivně proveditelný (přesněji - je proveditelný v čase, který je omezen polynomiální funkcí délky vstupu x). V2. Mixující zobrazení: Pro každý vstup x má výstupní hodnota "náhodný" charakter (definice je přesnější, vyžaduje však zavedení některých dalších pojmů). V3. Rezistance vůči kolizím: Je z výpočetního hlediska neuskutečnitelné nalézt dva různé vstupy x, y, aby h(x) = h(y). V4. Rezistance vzorů: Pro danou hodnotu hashe h je výpočetně neuskutečnitelné nalézt vstupní řetězec x tak, že h = h(x).

Vlastnosti hashovacích funkcí Menezes uvádí ještě následující vlastnosti: V5. Rezistance druhého vzoru: Je výpočetně neuskutečnitelné pro daný vstup x nalézt druhý vstupní řetězec y tak, že h(y) = h(x). Tato vlastnost se od vlastnosti V3 liší tím, že zde je jeden vstup již fixován.  OWHF - one-way hash function - jednosměrné hashovací funkce. Pro ně jsou splněny vlastnosti V1+V2+V4+V5; CRHF - collision resistant hash function - hashovací funkce rezistantní vůči kolizím. Splňuje podmínky V1+V2+V3.

MD5 (Message Digest) Autor Ronald Rivest : 1989 (MD2), 1990 (MD4) a 1991 (MD5). Výstupem MD5 je řetězec (hash) v délce 128 bitů. Vstup zprávy je doplněn takovým způsobem, aby celková délka vstupu (v bitech) byla dělitelná 512. Zpráva je doplněna na konci: -jedním bitem rovným jedné. - Pak je doplňována nulami tak, aby vznikl soubor o délce, která je o 64 bitů kratší než násobek 512. - Zbylých 64 bitů je vyplněno číslem, které uvádí délku původní zprávy. http://en.wikipedia.org/wiki/MD5

MD5 (Message Digest) Autor Ronald Rivest 1991 (MD5) Algoritmus zpracovává vždy 512 bitový blok vstupu, výsledkem je nový stavový blok Algoritmus pracuje s blokem v délce 128 bitů (=stavový blok), který je rozdělen na 4 slova A, B, C a D v délce 32 bitů. V počátku algoritmu jsou hodnoty těchto slov rovné definované pevné inicializační hodnotě. Zpracování 512 bitového vstupu probíhá ve čtyřech cyklech, každý cyklus se skládá ze 16 operací založených na nelineární funkci F, modulárním součtu a levé rotaci. Obrázek ilustruje průběh jedné takovéto operace. Jsou použity čtyři možné funkce F, v každém cyklu je použita jiná. (Tj. na zpracování 512 bitů je potřeba 64 rund..) Detaily viz : http://adela.karlin.mff.cuni.cz/~tuma/nciphers/Symetricka_kryptografie_III.pdf http://en.wikipedia.org/wiki/MD5

Kolidující zprávy … !!!!! Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu Crypto (Santa Barbara, Rump Session, 16.8 / 17.8.2004) d131dd02c5e6eec4 693d9a0698aff95c2fc ab58712467eab400458 3eb8fb7f8955ad34060 9f4b30283e488832571 415a085125e8f7cdc99 fd91dbdf280373c5b96 0b1dd1dc417b9ce4d89 7f45a6555d535739ac7 f0ebfd0c3029f166d10 9b18f75277f7930d55c eb22e8adba79cc155ce d74cbdd5fc5d36db19b 0ad835cca7e3 d131dd02c5e6eec4 693d9a0698aff95c2fc ab50712467eab400458 3eb8fb7f8955ad34060 9f4b30283e4888325f1 415a085125e8f7cdc99 fd91dbd7280373c5b96 0b1dd1dc417b9ce4d89 7f45a6555d535739a47 f0ebfd0c3029f166d10 9b18f75277f7930d55c eb22e8adba794c155ce d74cbdd5fc5d36db19b 0a5835cca7e3 ---- a4c0 d35c 95a6 3a80 5915 367d cfe6 b751 ----

Kolidující zprávy … !!!!! Algoritmus nebyl zveřejněn! Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu: Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, rump session, CRYPTO 2004, Cryptology ePrint Archive, Report 2004/199, first version (August 16, 2004), second version (August 17, 2004), http://eprint.iacr.org/2004/199.pdf Algoritmus nebyl zveřejněn! Je zřejmé, že metoda nezávisí na inicializačním vektoru ! Výpočet jsou schopni provést na IBM P690 cca za 1 hodina (cca 30 hodin na Intel Pentium 1,6 GHz) ? Lze využít k nějakým praktickým útokům (V3 x V5 !) ? Je metodou ohrožena i SHA-1 ? (laboratoře RSA doporučily již v roce 1996 přechod na algoritmus SHA-1.

Hledá se algoritmus … a) M // M* b) N // N* c) H1* - H1 = (0, +231+225, +231+225, +231+225) …. 1 hour on super comp. IBM P690 d) H2* - H2 = (0,0,0,0) 15s-5min. f f H 1 H IV 2 H * f 1 f M* N*

Algoritmus …. [1] Philip Hawkes, Michael Paddon, Gregory G. Rose: Musings on the Wang et al. MD5 Collision, Cryptology ePrint Archive, Report 2004/264, 13 October 2004, http://eprint.iacr.org/2004/264.pdf V říjnu 2004 se australský tým (Hawkes a kol.) pokusil čínskou metodu zrekonstruovat [1]. Nejdůležitější "čínský trik" se nepodařilo objevit, ale na základě dich práce bylo dobře popsáno diferenční schéma, kterým uveřejněné čínské kolize vyhovují. Naplnění podmínek tohoto schématu bylo však ještě příliš výpočetně náročné a výpočetně složitější, než ukazovaly čínské výsledky …

Podmínky pro první blok … Q[ 1]=Q[0 ]+RL(F(Q[0 ],Q[-1],Q[-2])+Q[-3]+x[0 ]+0xd76aa478, 7); 0 conds Q[ 2]=Q[1 ]+RL(F(Q[1 ],Q[0 ],Q[-1])+Q[-2]+x[1 ]+0xe8c7b756,12); 0 conds Q[ 3]=Q[2 ]+RL(F(Q[2 ],Q[1 ],Q[0 ])+Q[-1]+x[2 ]+0x242070db,17); 3 conds Q[ 4]=Q[3 ]+RL(F(Q[3 ],Q[2 ],Q[1 ])+Q[0 ]+x[3 ]+0xc1bdceee,22); 5 conds Q[ 5]=Q[4 ]+RL(F(Q[4 ],Q[3 ],Q[2 ])+Q[1 ]+x[4 ]+0xf57c0faf, 7); 24 conds Q[ 6]=Q[5 ]+RL(F(Q[5 ],Q[4 ],Q[3 ])+Q[2 ]+x[5 ]+0x4787c62a,12); 24 conds Q[ 7]=Q[6 ]+RL(F(Q[6 ],Q[5 ],Q[4 ])+Q[3 ]+x[6 ]+0xa8304613,17); 32 conds Q[ 8]=Q[7 ]+RL(F(Q[7 ],Q[6 ],Q[5 ])+Q[4 ]+x[7 ]+0xfd469501,22); 28 conds Q[ 9]=Q[8 ]+RL(F(Q[8 ],Q[7 ],Q[6 ])+Q[5 ]+x[8 ]+0x698098d8, 7); 25 conds 240 conds Q[10]=Q[9 ]+RL(F(Q[9 ],Q[8 ],Q[7 ])+Q[6 ]+x[9 ]+0x8b44f7af,12); 17 conds Q[11]=Q[10]+RL(F(Q[10],Q[9 ],Q[8 ])+Q[7 ]+x[10]+0xffff5bb1,17); 15 conds Q[12]=Q[11]+RL(F(Q[11],Q[10],Q[9 ])+Q[8 ]+x[11]+0x895cd7be,22); 12 conds Q[13]=Q[12]+RL(F(Q[12],Q[11],Q[10])+Q[9 ]+x[12]+0x6b901122, 7); 14 conds Q[14]=Q[13]+RL(F(Q[13],Q[12],Q[11])+Q[10]+x[13]+0xfd987193,12); 14 conds Q[15]=Q[14]+RL(F(Q[14],Q[13],Q[12])+Q[11]+x[14]+0xa679438e,17); 6 conds Q[16]=Q[15]+RL(F(Q[15],Q[14],Q[13])+Q[12]+x[15]+0x49b40821,22); 2 conds  … Q[17]=Q[16]+RL(G(Q[16],Q[15],Q[14])+Q[13]+x[1 ]+0xf61e2562, 5); 4 conds Q[18]=Q[17]+RL(G(Q[17],Q[16],Q[15])+Q[14]+x[6 ]+0xc040b340, 9); 3 conds Q[19]=Q[18]+RL(G(Q[18],Q[17],Q[16])+Q[15]+x[11]+0x265e5a51,14); 2 conds 43 conds Q[20]=Q[19]+RL(G(Q[19],Q[18],Q[17])+Q[16]+x[0 ]+0xe9b6c7aa,20); 1 cond … Q[17] - Q[64]: 43 conds

Algoritmus …. [3] Vlastimil Klima: Finding MD5 Collisions – a Toy For a Notebook, Cryptology ePrint Archive, Report 2005/075, http://eprint.iacr.org/2005/075.pdf, March 5, 2005 Výsledek na běžném notebooku (Acer TravelMate 450LMi, Intel Pentium 1.6 GHz) je tento: během 8 hodin bylo nalezeno 331 kolizí prvního bloku a 1 úplná kolize MD5. Vzhledem k tomu, že nalezení 1 kolize prvního bloku trvalo čínskému týmu 1 hodinu na počítači IBM p690, nalezení 331 těchto kolizí by trvalo cca 331 hodin, což je 40 krát více. … uvedený počítač je 25 - 50 krát rychlejší než notebook …dostáváme velmi hrubý odhad, že česká metoda hledání kolize prvního bloku je 1000 - 2000 krát rychlejší než v [1]. Naproti tomu hledání kolize druhého bloku je 2 - 80 krát pomalejší. Pokud srovnáme celkový čas hledání úplné kolize u čínského týmu (1.0 až 1.08 hodiny) s českým (8 hodin) na 25 - 50 krát pomalejším stroji, je tato metoda celkově 3 - 6 krát rychlejší.

Algoritmus …. [1] Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu: Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, rump session, CRYPTO 2004, Cryptology ePrint Archive, Report 2004/199, first version (August 16, 2004), second version (August 17, 2004), http://eprint.iacr.org/2004/199.pdf [2] Philip Hawkes, Michael Paddon, Gregory G. Rose: Musings on the Wang et al. MD5 Collision, Cryptology ePrint Archive, Report 2004/264, 13 October 2004, http://eprint.iacr.org/2004/264.pdf [3] Vlastimil Klima: Finding MD5 Collisions – a Toy For a Notebook, Cryptology ePrint Archive, Report 2005/075, http://eprint.iacr.org/2005/075.pdf, March 5, 2005 [4] Xiaoyun Wang, Hongbo Yu: How to Break MD5 and Other Hash Functions, http://www.infosec.sdu.edu.cn/paper/md5-attack.pdf, published on the web on March 6, 2005

Algoritmus …. 7.11.2005 [5] Yu Sasaki and Yusuke Naito and Noboru Kunihiro and Kazuo Ohta: Improved Collision Attack on MD5, Cryptology ePrint Archive: Report 2005/400, 7 Nov 2005, http://eprint.iacr.org/2005/400.pdf Wang, … : algoritmus se složitostí 2^37 Klíma : algoritmus se složitostí 2^33 Yu Sasaki, … : algoritmus se složitostí 2^30 Jsou upraveny některé tzv. postačující podmínky útoku a zavedeny nové a uvedeny nové způsoby mnohonásobné modifikace zpráv Klímy-Wangové.

Algoritmus …. 15.11.2005 Patrick Stach : MD4 and MD5 Collision Generators http://www.stachliu.com/collisions.html http://www.securiteam.com/tools/6O00E1FEKO.html První veřejný kód pro generování kolizí! Kolize MD5 generuje přibližně za 45 minut na P4 1.6Ghz a kolize MD4 přibližně za 4 vteřiny…

Hledá se útok…. Seminář BIS (Bezpečnost Informačních Systémů v praxi) (http://bis.modry.cz/), MFF UK Praha, 22. 11. 2004 Je nalezení kolize typu V3 využitelné k nějakému praktickému útoku? Pokud ano, lze najít útok na základě jediné zveřejněné „čínské“ kolize? Pokud ano, lze takový útok jednoduše zkonstruovat?

Útoky…. [6] Ondrej Mikle: Practical Attacks on Digital Signatures Using MD5 Message Digest, Cryptology ePrint Archive, Report 2004/356, http://eprint.iacr.org/2004/356, 2nd December 2004 http://crypto-world.info/casop7/crypto01_05.pdf   Student MFF UK Ondrej Mikle ukázal, že lze využít i jedinou publikovanou kolizi MD5 ke konstrukci reálných útoků. Jakékoliv dva různé soubory předáte pomocí určitého postupu dvěma uživatelům, a přitom si oba dva na základě vzájemné kontroly digitálních otisků MD5 budou myslet, že mají tentýž soubor...

Útoky…. [6] Ondrej Mikle: Practical Attacks on Digital Signatures Using MD5 Message Digest, Cryptology ePrint Archive, Report 2004/356, http://eprint.iacr.org/2004/356, 2nd December 2004 http://crypto-world.info/casop7/crypto01_05.pdf   Hlavní idea využití oné jediné kolize MD5, která byla v té době k dispozici. Uživateli 1 zašleme soubory data1.pak a self-extract.exe, uživateli 2 zašleme soubory data2.pak a self-extract.exe. Soubory self-extract.exe jsou stejné, zatímco data.pak různé, ale mají stejnou MD5 hash. Oba uživatelé nyní mohou zkontrolovat hash obdržených souborů nebo jejich digitální podpisy proti sobě. Protože budou totožné, očekávají, že i soubory, které z nich extrahují po spuštění self-extraktoru, budou totožné. Avšak jeden extrahuje X, zatímco druhý Y.

Útoky…. [7] Arjen Lenstra, Xiaoyun Wang and Benne de Weger: Colliding X.509 Certificates, Cryptology ePrint Archive, Report 2005/067, http://eprint.iacr.org/2005/067 Je ukázán příklad podvržení jiného obsahu do certifikátu. Využívá se čínské metody nalézání kolizí MD5 pro různé inicializační vektory. To umožní konstruovat zprávy s libovolným začátkem (zarovnaným na 512 bitů) doplněných odlišnými bloky (1024 bitů) a pokračujícími libovolným dalším stejným obsahem. Oněch odlišných 1024 bitů se situuje do místa v certifikátu, kde je veřejný klíč (modul RSA), který je jádrem certifikátu, a který potvrzuje certifikační autorita svým elektronickým podpisem v certifikátu. Kolize tak míří přímo na jádro certifikátu. Ukazuje to, že MD5 opravdu nemůže být využívána v certifikátech…. http://www.win.tue.nl/~bdeweger/CollidingCertificates/index.html

Útoky…. [6] Ondrej Mikle: Practical Attacks on Digital Signatures Using MD5 Message Digest, Cryptology ePrint Archive, Report 2004/356, http://eprint.iacr.org/2004/356, 2nd December 2004   [8] Dan Kaminsky: MD5 To Be Considered Harmful Someday, Cryptology ePrint Archive, Report 2004/357, http://eprint.iacr.org/2004/357, 6 December 2004 [7] Arjen Lenstra, Xiaoyun Wang and Benne de Weger: Colliding X.509 Certificates, Cryptology ePrint Archive, Report 2005/067, http://eprint.iacr.org/2005/067

SHA-1 (Secure Hash Algorithm) SHA-1 – 1993, délka hashe = 160 bitů NIST (National Institute of Standards and Technology) FIPS 180 (180-1, 180-2) ----------------------------------------------------------------------------------------------------------------------------------------- CRYPTO 2004 Eli Biham (ve spolupráci s Rafi Chenem) prezentoval své výsledky již na konferenci SAC počátkem srpna 2004 a některá další vylepšení na Crypto 2004. Podařilo se jim na základě své analýzy nalézt milion kolizí pro SHA-1 redukované na 34 cyklů, přitom některé z kolizí jsou částečně "smysluplné" (obsahují pouze písmena v ASCII kódu či dokonce části textu v angličtině). Blízké kolize byly nalezeny pro SHA-1 redukované na 45 cyklů. Autoři však konstatují, že z hlediska současného stavu výzkumu neočekávají, že se jim podaří rozbít algoritmus SHA-1.

SHA-1 (Secure Hash Algorithm) 24.8.2004 http://csrc.ncsl.nist.gov/hash_standards_comments.pdf Oficiální komentář NIST k nedávným výsledkům kryptologů ohledně hashovacích funkcí   Komentář je velmi stručný a vlastně jen konstatuje, že bezpečnost SHA-1 nebyla zatím dotčena a že existují silnější hashovací funkce (SHA-224, SHA-256, SHA-384, SHA-512), které lze používat. Postupné nahrazení SHA-1 a algoritmů s obdobnou kryptografickou silou se předpokládá okolo roku 2010. (23.2.2005 – NIST své stanovisko znovu potvrzuje)

SHA-1 (Secure Hash Algorithm) 15.2.2005 - SHA-1 byla (kryptograficky) prolomena ! Toto tvrzení se zakládalo na zprávě, kterou publikoval čínský kolektiv kryptologů Xiaoyun Wang, Yiqun Lisa Yin, Hongbo Yu. Poznamenejme, že v té době ještě nebyl znám ani jejich algoritmus pro výpočet kolizí u MD5… Hlavní výsledek zprávy se týká SHA-1, kde pro nalezení kolize podle nich stačí 2^69 operací. Pokud by SHA-1 byla kvalitní, mělo by nalezení kolizí narozeninovým paradoxem vyžadovat cca 2^80 operací. Množství operací 2^69 je však stále ještě vysoké, a tak mnoho lidí obhajovalo SHA-1 dále jako použitelnou a to pro velkou náročnost prolomení (viz NIST). [9] Xiaoyun Wang, Hongbo Yu: Collision search Attacks on SHA1, published February 13,2005 on http://www.financialcryptography.com/mt/archives/000357.html

SHA-1 (Secure Hash Algorithm) 17.08.2005 CRYPTO 2005 Na rump session, mělo být oznámeno paní prof. Xiaoyun Wang urychlení útoku na SHA-1 z původní složitosti 2^69 na 2^63. To je už je složitost výpočtu, který by mohl být dosažitelný distribuovaným výpočtem na internetu tak, jak jsme toho byli svědky i u jiných kryptoanalytických útoků. Vzhledem k tomu, že neobdržela vízum, musel její příspěvek na rump session přednést Adi Shamir. Urychlení bylo dosaženo jinou volbou diferenční cesty. Nevylučuje se, že bude nalezena další, ještě jednodušší cesta. http://www.iacr.org/conferences/crypto2005/program.html

SHA-1 (Secure Hash Algorithm) 23.9. 2005 - SHA-1 byla teoreticky prolomena ! Satohova práce obsahuje návrh hardware, který by nalezl kolize podle návrhu Wangové se složitostí 2^69. Navrhuje se architektura LSI na bázi 0.13-μm CMOS. Na základě toho byla vypočítána rychlost, velikost a spotřeba HW. Za 10 milionů dolarů lze sestavit zákaznický hardwarový systém, který by sestával z 303 PC, každý s 16 deskami (na každé je 32 jader SHA-1), pracujícími paralelně. Útok by trval 127 dní. [10] Akashi Satoh: Hardware Architecture and Cost Estimates for Breaking SHA-1, ISC 2005, Singapore, September 20-23, 2005, LNCS 3650, pp. 259-273, 2005

Co závěrem ? Hašovací funkce, u níž byla nalezena kolize, ztrácí generálně smysl, neboť hypotéza o tom, že se chová jako náhodné orákulum byla (prakticky) vyvrácena. Zejména by neměla být používána k digitálním podpisům (elektronickým), neboť tam kolize znamená, že je možné předložit dvě různé zprávy s tímtéž platným digitálním podpisem (elektronickým), ověřitelným pro obě zprávy. Existují techniky, kde nejsou využity všechny vlastnosti hashovací funkce a kde porušení bezkoliznosti (nebo částečné porušení bezkoliznosti) nevadí (PRNG, PRF, HMAC, hesla). Jsou připraveny metody, jak s využitím současných HW zařízení nebo SW balíků, které realizují funkce MD5 nebo SHA-1, zabránit současným kolizním útokům drobnou vnitřní změnou některých služebních funkcí (SHAInit, SHAUpdate, SHAFinal, MD5Init, MD5Update, MD5Final).

Co závěrem ? U systémů, které nepotřebují „všeobecnou“ kompatibilitu to není velký problém. U ostatních je podmínkou, aby se pro tyto funkce rychle připravil standard a nový identifikátor takto opravené hašovací funkce. Za všechny snahy o opravu např. [11] Charanjit S. Jutla and Anindya C. Patthak : Is SHA-1 conceptually sound?, 7.10.2005, Cryptology ePrint Archive: Report 2005/350, http://eprint.iacr.org/2005/350 A zejména práce publikované na : [12] CRYPTOGRAPHIC HASH WORKSHOP October 31 - November 1, 2005 http://www.csrc.nist.gov/pki/HashWorkshop/index.html (SHA-1, SHA-256, SHA-512, FORK-256, DHA-256, Truncation Mode for SHA …)

? ? Diskuse Pavel Vondruška pavel.vondruska@ct.cz pavel.vondruska@crypto-world.info http://crypto-world.info ? ?