Nowe ataki na SHA-1

Na konferencji CRYPTO 2006 zademonstrowano nową klasę ataków na SHA-1, które umożliwiają atakującemu wybranie fragmentów tekstu jawnego - jest to pierwszy krok do fałszowania dokumentów podpisanych przy pomocy tej funkcji skrótu.

Wcześniej znane ataki umożliwiały generowanie kolizji SHA-1 w rozsądnym czasie, jednak nie było to równoważne np. z możliwością fałszowania dokumentów podpisanych elektronicznie z użyciem funkcji SHA-1. Pliki dające identyczny skrót powstawały podczas prowadzenia ataku, więc ich zawartość nie była z góry znana ani sensowna.

Fałszowanie dokumentów byłoby możliwe w sytuacji, gdyby dla istniejącego dokumentu oraz jego skrótu było możliwe wygenerowanie innego dokumentu, dającego identyczny skrót. Nowy atak częściowo to umożliwia, ponieważ atak narzuca około 75% treści kolidującego pliku, zaś pozostałe 25% może być wybrane przez atakującego - czyli może zawierać na przykład niekorzystną dla ofiary treść. Nasuwa się pytanie, co zrobić ze "śmieciami" stanowiącymi pozostałą część dokumentu - większość współczesnych formatów dokumentów umożliwia jednak przechowywanie dowolnej treści "jałowej", jak na przykład komentarze w HTML lub XML.

Autorami ataku są Christian Rechberger oraz Christophe De Cannière. Zaprezentowany na konferencji mechanizm ma zastosowanie dla SHA-1 zredukowanego do 64 rund, ale według autorów może być z łatwością rozszerzony na pełną wersję z osiemdziesięcioma rundami.

Co to oznacza w praktyce? Na pewno nie jest to niespodzianka - pierwsze rysy na wizerunku SHA-1 pojawiły się już w 2004 roku, kiedy chińscy kryptolodzy opublikowali pierwsze ataki na SHA-1. Jednak amerykański instytut standardów (NIST) już od kilku lat zaleca stosowanie w nowych produktach wydłużonych algorytmów - SHA-256, SHA-384 i SHA-512, co wynikało z uzasadnionych przewidywań co do czasu życia SHA-1.

Operację wprowadzania nowych algorytmów należy prowadzić, jednak bez paniki - na przykład w przypadku podpisu elektronicznego bezpieczeństwo nie zależy tylko i wyłącznie od funkcji skrótu, ale jest wypadkową wielu zabezpieczeń technicznych ("bezpieczne urządzenie do składania podpisu") oraz organizacyjnych - takich jak konserwacja dokumentów elektronicznych.

Więcej informacji o funkcjach skrótu w informatyce: "Wydłużanie skrótów", Computerworld, luty 2005

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200