id: Гость   вход   регистрация
текущее время 18:14 29/03/2024
Владелец: SATtva (создано 14/09/2006 22:50), редакция от 01/07/2007 00:46 (автор: sunrise) Печать
Категории: криптография, криптоанализ, алгоритмы, хэширование, сайт проекта, статьи, стандарты, атаки
https://www.pgpru.com/Библиотека/Статьи/КриптоанализХэшФункцийВремяДляНовогоСтандарта
создать
просмотр
редакции
ссылки

Криптоанализ MD5 и SHA: время для нового стандарта


На проходящей на этой неделе в Санта-Барбаре, Калифорния, конферении CRYPTO'2004 исследователи заявили об обнаружении нескольких уязвимостей в распространённых хэш-функциях. Эти результаты, хотя и значительны для математики, не повод для тревог. Но даже если и так, криптографическому сообществу настало время объеденить усилия и создать новый хэш-стандарт.


Односторонние хэш-функции – это криптографические примитивы, реализуемые во множестве приложений. Они используются с асимметричными алгоритмами для шифрования и цифровых подписей. Они используются для проверки целостности данных. Они используются при аутентификации. Они имеют самое разнообразное применение в огромном множестве протоколов. Односторонние хэш-функции стали рабочими лошадками современной криптографии даже больше, чем шифровальные алгоритмы.


В 1990г. Рон Райвест изобрёл хэш-функцию MD4. В 1992г. он доработал MD4, создав новую функцию – MD5. В 1993 Агентство Национальной Безопасности США опубликовало хэш-функцию, очень схожую с MD5, названную Secure Hash Algorithm (SHA). Затем, в 95-м, ссылаясь на некую найденную уязвимость, но отказываясь раскрывать детали, АНБ внесло изменения в SHA. Новый алгоритм был назван SHA-1. Сегодня SHA-1 является самой распространённой хэш-функцией, MD5 же продолжает применяться в старых системах.


Односторонние хэш-функции должны обладать двумя свойствами. Во-первых, они должны быть односторонними. Это означает, что легко взять сообщение и рассчитать его хэш-значение, но невозможно из хэш-значения восстановить сообщение-прообраз. (Под "невозможным" я понимаю "нельзя за любое разумное время".) Во-вторых, они должны быть усточивы к коллизиям. Это значит, что невозможно найти два таких сообщения, которые бы производили одинаковое хэш-значение. Криптографическое обоснование важности этих двух свойств весьма неочевидно, и я приглашаю любопытных читателей обратиться к моей книге "Прикладная криптография".


Взломать хэш-функцию — значит показать, что она не обладает каким-либо из этих свойств или ими обоими. Криптоанализ семейства MD4-подобных хэш-функций продолжался в течение всего последнего десятилетия, продемонстрировав высокие результаты против упрощённых версий алгоритмов и частичные результаты против их исходных версий.


В этом году Эли Бихам и Рафи Чен и, независимо от них, Антуан Жу подвели некоторые весьма впечатляющие итоги криптографического взлома MD5 и SHA. Была продемонстрирована коллизия в SHA. Более того, ходят слухи, неподтверждённые к моменту написания этих строк, о результатах против SHA-1.


Значимость этих результатов зависит от того, кем вы являетесь. Если вы криптолог, всё очень серьёзно. Пусть и не революционные, но эти результаты – заметное продвижение в вопросе. Приёмы, изложенные исследователями, наверняка имеют и иные области применения, так что в конечном счёте мы сможет разработать и более надёжные системы. Именно так развивается криптографическая наука: мы учимся строить новые алгоритмы, взламывая существующие. Кроме того, алгоритмы, разработанные в АНБ, считаются своего рода технологией пришельцев: мы получаем их от превосходящей нас расы без каких-либо объяснений. Каждый успешный криптоанализ алгоритма АНБ – это интересное продолжение извечного вопроса, насколько в действительности они там хороши?


Для пользователя же криптографических систем (которыми, полагаю, является большинство читателей) эта новость хоть и важна, но не особенно тревожна. MD5 и SHA не стали внезапно ненадёжны. Никто не сможет в ближайшее время при помощи этих новых методов взламывать цифровые подписи или читать зашифрованные письма. Цифровой мир не стал после этих заявлений менее защищённым, чем он был до сих пор.


Но есть в АНБ одна старая поговорка: "Атаки всегда улучшаются и никогда не ухудшаются". Эти приёмы продолжат улучшаться, и, наверняка, однажды кто-то покажет практическую атаку, основанную на этих методах.


Всем нам пришло время отходить от SHA-1.


К счастью, есть альтернативы. У Национального института стандартов и технологий (NIST) уже есть стандарты более длинных (и более устойчивых к взлому) хэш-функций: SHA-224, SHA-256, SHA-384 и SHA-512. Они уже государственные стандарты и их можно использовать прямо сейчас. Это хороший переходный вариант, но мне бы хотелось увидеть и другие.


Я хотел бы увидеть, как NIST проведёт международный конкурс на выбор новой хэш-функции, как он сделал это с новым шифровальным алгоритмом, Advanced Encryption Standard, сменившим Data Encryption Standard. NIST должен объявить приём конкурсных алгоритмов и провести серию аналитических раундов, где научное сообщество проанализирует различные предложения с общим намерением создать новый стандарт.


Большинство существующих хэш-функций и все, находящиеся в широком распространении, основаны на общих принципах MD4. Без сомнения, мы много узнали о хэш-функциях за минувшие десять лет, и, мне кажется, можем начать применять эти знания, чтобы создать нечто ещё более стойкое.


Лучше сделать это сейчас, пока нет причин для паники, чем годы спустя, когда они могут возникнуть.


Брюс Шнайер
Перевод © 2004 SATtva

 
Комментариев нет [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3