Názory k článku Tunely v hašovacích funkcích: kolize MD5 do minuty

Přední český kryptoanalytik sám sebe prohlašuje za česého...co tím má na mysli? :-D (Inu, ti kryptologové, neustále mluví v hádankách...totiž v šifrách... :-D)

Díky, opraveno.

To je přeci hold autorovi článku! :-D Když jediná reakce, na kterou se zmůžu, je oprava drobné chybičky, znamená to zcela jasně, že na nic závažnějšího jsem nepřišel a tudíž se mi článek líbí... ;-)

Jakube, nic ve zlém, ale perex, tj. to, co je pod nadpisem, jsem nenapsal já, nýbrž redakce rootu na uvedení článku...
Takže česým kryptoanalytikem jsem se nenazval sám, to bych neudělal, ani kdyby to bylo bez překlepu.

Překlep bychom mohli redakci odpustit. Já tam mám taky překlep, který tímto opravuji:

Pod obrázkem 9:
"Na všech bitech i (i = 22, 23, 24) můžeme změnit hodnotu Q[9]i, aniž by to proměnné Q[11] a Q[10] zaregistrovaly."
Má tam být
"Na všech bitech i (i = 22, 23, 24) můžeme změnit hodnotu Q[9]i, aniž by to ROVNICE pro Q[.12.] a Q[.11.] zaregistrovaly."

Ještě tedy dovysvětlení. To je podstata tunelu. V tom systému těžce provázaných rovnic pro Q[1..64] a x[0..15] moci změnit něco (ve zprávě x[]), co nemá vliv na splnění cca 300 postačujících podmínek na proměnné Q[1..24], kde je každé slovo x[] použito a některé dvakrát. Vypadá to, že měníme Q[9], podstatou je, že měníme x[], aniž bychom se těch 300 podmínek dotkli.

Já jsem to tiše předpokládal a svůj příspěvěk jsem myslel trošku ironicky. ;-) Uznejte ale, že bez ohledu na skutečné autorství to vypadá opravdu trošku divně... :-) Já Vám samozřejmě za článek děkuji, i za Vaše úsilí.

Mám. Zatím o tom ale nemohu NIC bližšího ani dalšího říci, což je krajně hloupé a nemilé, ale je to tak.

...aneb jak napsal Jara Cimrman: "My nesmime ani naznacovat." :-)

Na Crypto-Worldu Vlastimil Klíma napsal:

Je potřeba vyvinout zcela nový koncept hašovacích funkcí, na čemž také usilovně pracuji, a z čehož je vlastně tahle práce vedlejší výsledek.

Pane Klíma, jaký zastáváte názor na softwarové patenty?

SW patenty? To jste mě dostal. Jsem laik. Vím jen, že by mě to bylo hodně nepříjemné, kdybych se musel starat, jestli jsem náhodou nenaprogramoval něco, co už je patentováno. Naštěstí programuju tak blbě a málo, že mi to nehrozí.

Šlo mi jen o to, jaký je názor odborníka, který algoritmy a postupy vymýšlí. Jestli by to pro Vás byl nějaký přínos, kdybyste měl tu možnost si algoritmus patentovat v evropských zemích a nějak z toho těžit...

1. ne, ale pracuje se na tom
2. ano, je to jen o málo složitější (podrobnosti jsou zrovna v článku ve Sdělovací technice č. 4). Něco vyjímám:

Dvě hašovací funkce
K nalezení kolize funkce MD5 || SHA1 potřebujeme pouze 2^80 zpráv, které mají stejnou MD5 haš. Mezi nimi nalezeneme pak dvě, které mají i stejnou SHA1, čili kolizi celé MD5 || SHA1. Trikem Jouxové získáme těch 2^80 zpráv pouze se složitostí POUZE 80 krát složitost nalezení jedné kolize MD5 (teď jednu kolizi umím na notebooku, na kterém píšu, jsem připojen na internet a běží mi test kolizí, za 30 sekund - trochu jsem původní program vylepšil). Získání těch 80 na sebe navazujících zpráv je teda za 2400 sekund. Zbývá je zkombinovat do 2^80 zpráv a zhašovat pomocí SHA-1. Čili je to až na tu hodinu práce navíc úplně stejné jako kdybychom vzali 2^80 libovolných zpráv a hledali v nich kolizi SHA-1. Poznamenávám, že tento dotaz jsem dostal i od pracovníka jedné velké certifikační autority.

Jedna hašovací funkce s více inicializačními hodnotami
Podobný dotaz, tentokrát od Panda Software, jsem dostal na možnost posílení haše pomocí dvou inicializačních vektorů. Nápad byl jako haš volit h(IV1, x) || h(IV2, x). Avšak použijeme-li trik Jouxové, dostáváme složitost útoku řádově jen 64 krát vyšší než pro samotné h(IV1, x). Avšak složitost se dále zvýší, pokud použijeme h(IV1, x) || h(IV2, x) || h(IV3, x). To jsem jim také doporučil (jako řešení jdoucí jejich směrem nikoli jako obecné, vůbec ne jako obecné). Uvažujeme-li konkrétně MD5 a že jsme schopni nalézt kolizi MD5 za jednu sekundu (na velkém stroji můžeme uvažovat za sekundu), pak kolizi MD5(IV1, x) || MD5(IV2, x) umíme trikem Jouxové najít se složitostí 64* 2^64 * 1s a kolizi MD5(IV1, x) || MD5(IV2, x) || MD5(IV3, x) se složitostí 64* (64* 2^64 * 1s), což je více než 2^64 hodin nebo přesněji je to 4096*2^64 krát složitější než jednoduchá kolize MD5. Čili tudy určitá cesta také vede (pro uzabřené systémy, kde je implementovaná MD5 a už není místo na kód, ale je tam místo i čas na výpočet trojnásobné haše s různými IV).

Další opatření.
Opatření šité na míru proti současným útokům, ale určitě účinné i na mnohé jiné útoky. Konkrétně můžeme z jednoho (například u MD5 a SHA1) 512-bitového bloku m, který máme zpracovat, vytvořit a zpracovat bloky dva, a to například m || C(m), kde C bude nějaký kontrolní kód bloku m. Pokud nám rychlost zařízení toto umožní, volíme C co nejsložitější (nedoporučuje se C(m) = m), ale například C jako nelineární zobrazení, dále zařazení čítače bloků do C(m) apod. Velmi mnoho opatření tohoto typu bylo navrženo na třech speciálních kryptologických konferencích, které řešily problémy hašovacích funkcí [6] [7] [8]. Pokud hledátě řešení tímto směrem, dobré jsou z těchto konferencí náměty z prací autorů Halevi - Krawczyk, Biham, Szydlo - Yin, Jutla - Patthak, Lucks, Rivest a Coron.

[6] Cryptographic Hash Workshop, NIST, USA, Oct. 31 - Nov. 1, 2005, http://www.csrc.nist.gov/pki/HashWorkshop/program.htm
[7] Conference on Hash Functions (Ecrypt), June 23-24, 2005, Przegorzaly (Krakow), Poland, http://www.ecrypt.eu.org/stvl/hfw/
[8] WEWoRC 2005, Western European Workshop on Research in Cryptology, Leuven-Heverlee, Belgium, July 5-7, 2005, http://www.cosic.esat.kuleuven.be/WeWorc/allAbstracts.pdf

No, silně nelineárních funkcí je spousta, ale současné procesory je neumějí provádět ani zdaleka tak rychle jako ty lineární... Takže takové ověření hashe s báječně nelineární funkcí by mohlo zabrat třeba pár minut. Nebo taky hodin. Stojí to za to?

:) no zrovna ted spise bere, i kdyz jsou to jen iluze ;)

Uprimne smekam pred panem Klimou. Skvely clovek, ze to dokazal vymyslet... Jen tak dale a hodne stesti :D

Právě v době psaní odpovědí na root mi dobíhá testík s upraveným SW. U původního programu jsem se vykašlal na druhý blok (cca 25 vteřin). Teď jsem doplnil dva tunely i do něj a je to za vteřinu. První blok má stabilní průměr 30 vteřin, takže celkem jedna kolize za 31 vteřin. Někdy naběhnou taky za vteřinu obě dvě. Slíbil jsem před rokem, že program zveřejním, až to stokrát urychlím, teď je to tisíckrát, tak tím s MD5 už končím, i když je tam ještě práce jak na kostele. Například navrhnout diferenční schéma, které by a priori obsahovalo pořádný tunel nebo k dané právě najít jinou se stejnou haší....

Nebojte, pracuje se na tom.

Už je to přes rok, měl jsem přednášku, kterou jsem nazval "Nedůvěřujte kryptologům". Myslel jsem to vážně (to víte, ty názvy přednášek na konference... najdete jí někde na mém webu, měla by tam být), rozvíjím tam myšlenku, že je normální, že kryptografické techniky stárnou a je potřeba je obnovovat, jako cokoli v našem životě. Dříve to nebylo zvykem, protože se o tom nepsalo, nevědělo, nebádalo se veřejně. Nové je pouze to, že teď si to uvědomujeme a musíme si na to zvyknout.

Jinak díky za hezká slova na mojí adresu.

Abych z toho udělal trochu srandu. Jak tady říkal někdo v diskusi, spíš bude mít dojem, že jsem něco odnesl...

Tak jsem to tam dal, viz domácí stránka projektu http://cryptography.hyperlink.cz/2004/kolize_hash.htm.

I já jsem to psal za trest.... je to vidět, co? Mě to tak šíleně nebavilo. A těch bugů. Myslel jsem, že se vzteknu.

Vezměte to jako dobrodružství nebo jako kryptoanalýzu, použijte postranní informační kanály ... a nebo mi radši zavolejte, vyřídíme dotazy ústně.

Ten zdroják náhodou vypadá docela dobře, ještě že jste neviděl zdrojový kód od jedné matematičky, která pro nás externě vytvářela podpůrné aplikace :-)

Asi začnu pro označování lokálních znakových proměnných taky používat název 'bukva', nějak se mi to zalíbilo :-)

Dejte tam SHA-256 nebo SHA-512 at mate chvili klid.
Stahovani SHA-1 vyhlasil uz i americky NIST.
Letos se ocekava zverejneni kolize.
Viz například
Kolizi SHA-1 lze dnes nalézt se 160 tisíci $ za 127 dní nebo s 10 miliony $ za 2 dny
na http://crypto-world.info/news/index.php?prispevek=2249

nebo
Stanovisko NIST k dalšímu používání hashovacích funkcí
na
http://crypto-world.info/news/index.php?prispevek=2946

To používáte TrueCrypt (http://www.truecrypt.org/), že? Pěkný kousek software, také ho používám. A rozhodně by mě také zajímala odpověď na Vámi položenou otázku.

Z tech dvou, co jsou na vyber, bych tam rozhodne dal Whirlpool.

Whirlpool, SHA-256 a SHA-512 jsou dnesni bezpecne hashovaci funkce. Trida SHA se ale bude podle mne postupne stahovat (horizont 10 let).

viz odpovedi na dotaz "bedo" výše

Urcite vam to tady nekdo vysvetli, ja jen odpovim na cast dotazu, na to, ze zrychleny vypocet kolize MD5 nema na vasi situaci s bankou jak to tak zvonkajsku vypada ZADNY PRIMY vliv.

Tak to vypada na prvni pohled. Rozhodne nechci strasit, verte mi. Jen je nutno vedet, ze ruzne SW, ktere banka pouziva, a kudy ty transakce vsechny prochazeji, temer urcite nekde pouzivaji jeste MD5, protoze ty softy jsou slepene z ruznych slepencu, starych i novych. Mohu vam rici ze zkusenosti, ze zadny clovek v bance X nevi, jaky SW se na ruznych mistech banky a v ruznych systemech pouziva a co vsechno v nem je. Potkal jsem velmi chytre programatory, velmi chytre bezpecaky a velmi vychytrale manazery (u nich je to vychytrale vlastne synonymum pro chytre, to vyplyva z pracovni naplne). I ty ostatni. Programatori prichazeji a odchazeji, systemy se meni a ridici pracovnici nevi jestli v nejakem softu je MD5 nebo SHA-1, kdyz sami ani nevi, co to je. Takze odpoved na vasi otazku je slozita.
Nijak nespecifikuji banku X. Chytri se dovtipi.

No, pozadej vsechny, s kym budes chtit obchodovat, aby si ten verejny klic stahli driv nez si prectou tenhle clanek. Az si ho prectou, muzes mavat smlouvou jak chces, stejne ti nebudou verit ze je to tvuj klic, pokud to nebudou moci overit jinak nez podle otisku na smlouve (namatkou ho muzou overit podle toho, ze ho maji zkopirovany dele nez se umi delat kolize md5, nebo podle toho, ze je soucasti podepsaneho certifikatu - teda pokud ten certifikat nepouziva md5). Ty kryptograficky zdatnejsi mozna presvedcis, ze staci kdyz je ta smlouva starsi nez to generovani kolizi, ale tezko rict jak dlouho kdyz Klima rika, ze se pracuje i na kolizi prvniho radu ...

Pokud komunikace probiha pouze s bankou, melo by to byt bezpecne (zarucit to bez analyzy veskereho zucastneneho kodu nejde), protoze banka ten verejny klic ma delsi dobu a nepochybne u nej ma poznamenano, ze je vas (a snad ne pomoci md5).

Problém je v tom, že tvůrci nebo oprašovači informačních systémů nejsou ochotni změnit vůbec nic, pokud to přímo neohrožuje jejich byznys a byznys jejich zaměstnavatelů. Navrhovaná úprava by pro tyhle lidi byla nepřijatelná. Ony jsou už navrženy jiné hašovací funkce i nové varianty norem pro digitální podpis, ale nikdo je nechce nasazovat. Přesto, že ty staré mají chyby, které jsou popsané, uznané a mnohdy nebezpečné. Nejdůležitější je kompatibilita - a každá změna ji trochu narušuje, i když (některé) systémy se změnou různých funkcí (jako je šifrovací algoritmus, hašovací,....) už nějakou dobu počítají. Třeba pro certifikační autoritu nebo pro Microsoft je záměna hašovací funkce jen otázkou změny identifikátoru. Ale co ty softy, které na to navazují ? Je sice hezké, že CA nebo MS změní identifikátor, ale ty návazné softy musí také ty nové funkce zapracovat, aby tomu identifikátoru rozuměly, atd. atd.... A všechno se točí jen kolem prachů. Bezpečnost? To nevydělává. Něco tam dejte, ať to hlavně moc nestojí a nějak to zařiďte....

Zájemce o toto téma bych chtěl upozornit na nové číslo Crypto-Worldu, které vyjde během dubna (k jeho odběru je potřeba se zaregistrovat). Bude tam velice zajímavý článek pana Klímy Kolize MD5 do minuty aneb co v odborných zprávách nenajdete popisující zákulisí této oblasti a i některé myšlenky do budoucna.