Неожиданные события последних дней в криптоанализе хэш-функц
Неожиданные события последних дней в криптоанализе хэш-функций.
1996 г. – Доббертин открыл частичные коллизии MD5 c измененным вектором
инициализации (атака не имеет практического значения, но свидетельствует
о некоторой нестойкости).
2004.07.12 – обещают премию 10000$ за нахождение полной коллизии MD5
http://www.certainkey.com/news/?12
2004.07.22 – Бихам находит значительные предколлизии в sha0
(sha1 отличается только одним циклическим сдвигом)
http://eprint.iacr.org/2004/146
Статья наделала много шума...
2004.08.12 – Antoine Joux(*) (DCSSI Crypto Lab)
Patrick Carribault (Bull SA)
Christophe Lemuet, William Jalby
(Universit'e de Versailles/Saint-Quentin en Yvelines)
http://www.md5crk.com/sha0col/
находят коллизию для sha0 за 2^50 операций и 50000
часов машинного времени.
2004.08.16
создатель AES-Rijndael в специальном интервью предупреждает о серьезных
проблемах, если
взлом хэш-функций подвердится – цифровые подписи, сертификаты,
многие банковские протоколы будут недействительны.
(эту ссылку я где-то потерял :-(.
http://www.freedom-to-tinker.com/archives/000661.html
2004.08.16 – Китайцы нашли способ найти коллизии в MD5 за 15 сек – 5 мин
на PC
http://eprint.iacr.org/2004/199.pdf
За 2^6 операций "взламывается" HAVAL и RIPEMD.
MD4 "взламывается" на калькуляторе или на бумаге.
http://www.tcs.hut.fi/~mjos/md5/
http://www.freedom-to-tinker.com/archives/000662.html
2004.08.18 – китайцы выкладывают исправленную версию статьи выступают
на конференции rump Crypto-session. Идет прямая трансляция в Интернете.
Обещают "взломать" SHA-1 – нужно только незначительно переделать алгоритм.
http://www.iacr.org/conferences/crypto2004/rump.html
Простите за некоторые неточности и сумбурность обзора – все события интересны тем, что
происходят в реальном времени.
Вроде бы пока повода для паники нет – подделать подпись на основе коллизии невозможно,
но этого достаточно для доказательства нейстойкости хэш-функций с далеко идущими
последствиями.
На основе SHA был создан шифр SHACAL, который прошел конкурс крипто-NESSI.
Какова будет теперь судьба некоторых блочных (и потоковых) шифров, если
у считавшихся стойкими хэш-функций найдены дифференциальные характеристики,
распространяющиеся через все раунды?
Но если дело так и дальше пойдет... то можно будет легко подделывать
цифровые сертификаты, ключи PGP, подписи.
Все боялись краха RSA, а проблема возникла в другой части протокола.
комментариев: 9796 документов: 488 редакций: 5664
В научно-популярных книгах по атомной физике электроны и орбитали часто представляют
в виде шариков или облачков. Но это просто наглядная модель для облегчения
понимания, на основе таких моделей никаких серьезных выводов делать нельзя.
Мне кажется, что представлять себе хэш-функцию как гору катящихся камней не вполне
продуктивно и может привести к необоснованным выводам. В криптографии такого рода
попытки были (привлекать физические, биологические и прочие аппараты и все они провалились).
Теории хаоса, которыми пытались моделировать лавины тоже кстати в криптографии как-то не прижились.
Зато все верно замеченные Вами тенденции вполне укладываются в рамки обычного криптоанализа.
"Взлом" хэш-функций произошел вполне традиционными методами дифференциального криптоанализа и
совсем не потому, что в хэшах "нет ключей", а потому что условие "коллизионной стойкости" слишком
строгое и трудно достижимое. О сомнительной коллизионной стойкости функции раунда было известно
еще в середине девяностых.
Хотя, в чем-то Ваши рассуждения интуитивно сходятся даже с серьезными работами в области криптографии
(насколько я могу об этом судить).
Например, создать стойкий потоковый шифр, намного сложнее, чем блочный.
Из-за того, что что ограниченную энтропию ключа пытаются использовать для выработки очень длинных
последовательностей, эти последовательности получаются не совсем случайными. Не с точки зрения
статистики, а сточки зрения криптоанализа можно доказать отличие такой последовательности
от случайной для многих потоковых шифров (random distinguisher attack) и с этим приходится мириться
(хотя шифр получается теоретически нестойким),
в то время как для блочных такие предварительные атаки намного сложнее.
В блочном шифре энтропия ключа и отчасти текста как-бы перемножаются.
Но текст обладает плохой энтропией и может себя выдать плюс всякие подобранные тексты и т.д.
В поточном работает только энтропия ключа.
В хэшах работает только энтропия текста, но зато выход хэша ограничен.
В каждом предложении описаны противодействующие друг другу факторы.
В каждом виде криптографического примитива есть свойства и облегчающие и затрудняющие
криптоанализ и вот-так умозрительно сказать, что перевесит в каждом конкретном случае трудно.
Можно сделать вывод на основе предшествующих научных исследований, мнений ведущих специалистов, дать прогноз на будущее.
Но однозначно на основе какой-то одной модели строить выводы нельзя. Тем более такой отвлеченной, как
гора камней. Мне еще встречались методы анализа криптопротоколов на основе "теории игр", но
это уже на грани "приемлемого". А если специалистам показать работу где хэш-функция будет
рассматриваться на основе хотя-бы математического описания физичесого процесса... Вроде
горы катящихся камней или лавины. Ну тут уж
надо быть или гением или идиотом (шутка :-), не принимайте слишком серьезно)
комментариев: 11558 документов: 1036 редакций: 4118
Экзамен в техническом ВУЗЕ. В чем измеряется сила тока? Вольтах, амперах или омах?
Экзамен в гуманитарном ВУЗЕ? А не в амперах ли измеряется сила тока? Да, нет, может быть.
Экзамен в военном училище? В чем измеряется сила тока? Да, нет, так точно.
Товарищи, если имеем дело с математикой, давайте забудим про философию.
Все гениальное просто, но не все простое гениально.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
http://www.cryptopro.ru/Crypto...../SHA-1_collision.pdf
Действительно у ГОСТ-хэша больший запас прочности, но ... наличие S-блоков не гарантирует невозможности проведения DCA-атаки. Тогда уж предпочтительнее WHIRLPOOL, где есть метод точного расчета дифф. характеристик.
комментариев: 11558 документов: 1036 редакций: 4118
http://www.securitylab.ru/news/239725.php
комментариев: 9796 документов: 488 редакций: 5664
"До свидания MD5"? Как говориться, здравствуй дерево!
Пароли с одинаковым хэшем на passcraking.com? "споры о целесообразности использования криптографических хеш функций."?
Ну еще парочка ляпов, но не так уж кошмарно. Было и хуже. Все таки пишут, что Шнайера читали.
Значит не даром была поднята тема о введении алгоритма ГОСТ в PGP.
Где то читал, что при помощи методов взлома хешей взламывают пароли, это писали про мд5. Не пойму, как это возможно, если пароль изначально не известен?
комментариев: 9796 документов: 488 редакций: 5664
ГОСТ-хэш или ГОСТ-шифр? Я думаю они пока оба как "неуловимый Джо", которого никто не ловит. Конструкции, превращающие любой блочный шифр в хэш давно известны и не авторами ГОСТа скорее всего изобретены. Думаете все так просто? Никто не догадался взять стойкий блочный шифр и сделать из него стойкий хэш?
Чего ж тогда криптографы уже больше года что-то новое изобретают, когда все-так просто? От безделья наверное.
Все сообщения, которые мне лично пападались были безграмотными. Пока только можно подобрать коллизию, но не второй прообраз или инверсию хэша. Или взломщики паролей оказались умнее криптографов? Или кто-то путает простой bruteforce и поиск коллизий.
комментариев: 9796 документов: 488 редакций: 5664
Не удивлюсь, если и это ненадолго.
Новый класс атак на хэш-функции – атака Нострадамуса при помощи бриллиантовых структур (не сойдите с ума в процессе чтения, буквально "крышу сносит") Можете превратится в Нострадамуса и похитителя кредитов на изобретения:
http://eprint.iacr.org/2005/281
комментариев: 9796 документов: 488 редакций: 5664
http://www.shmoo.com/md5-collision.html
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
http://www.infosec.sdu.edu.cn/people/wangxiaoyun.htm