Nowe ataki na SHA-1
- Paweł Krawczyk,
- 28.08.2006, godz. 11:15
Na konferencji CRYPTO 2006 zademonstrowano nową klasę ataków na SHA-1, które umożliwiają atakującemu wybranie fragmentów tekstu jawnego - jest to pierwszy krok do fałszowania dokumentów podpisanych przy pomocy tej funkcji skrótu.
Wcześniej znane ataki umożliwiały generowanie kolizji SHA-1 w rozsądnym czasie, jednak nie było to równoważne np. z możliwością fałszowania dokumentów podpisanych elektronicznie z użyciem funkcji SHA-1. Pliki dające identyczny skrót powstawały podczas prowadzenia ataku, więc ich zawartość nie była z góry znana ani sensowna.
Fałszowanie dokumentów byłoby możliwe w sytuacji, gdyby dla istniejącego dokumentu oraz jego skrótu było możliwe wygenerowanie innego dokumentu, dającego identyczny skrót. Nowy atak częściowo to umożliwia, ponieważ atak narzuca około 75% treści kolidującego pliku, zaś pozostałe 25% może być wybrane przez atakującego - czyli może zawierać na przykład niekorzystną dla ofiary treść. Nasuwa się pytanie, co zrobić ze "śmieciami" stanowiącymi pozostałą część dokumentu - większość współczesnych formatów dokumentów umożliwia jednak przechowywanie dowolnej treści "jałowej", jak na przykład komentarze w HTML lub XML.
Autorami ataku są Christian Rechberger oraz Christophe De Cannière. Zaprezentowany na konferencji mechanizm ma zastosowanie dla SHA-1 zredukowanego do 64 rund, ale według autorów może być z łatwością rozszerzony na pełną wersję z osiemdziesięcioma rundami.
Co to oznacza w praktyce? Na pewno nie jest to niespodzianka - pierwsze rysy na wizerunku SHA-1 pojawiły się już w 2004 roku, kiedy chińscy kryptolodzy opublikowali pierwsze ataki na SHA-1. Jednak amerykański instytut standardów (NIST) już od kilku lat zaleca stosowanie w nowych produktach wydłużonych algorytmów - SHA-256, SHA-384 i SHA-512, co wynikało z uzasadnionych przewidywań co do czasu życia SHA-1.
Operację wprowadzania nowych algorytmów należy prowadzić, jednak bez paniki - na przykład w przypadku podpisu elektronicznego bezpieczeństwo nie zależy tylko i wyłącznie od funkcji skrótu, ale jest wypadkową wielu zabezpieczeń technicznych ("bezpieczne urządzenie do składania podpisu") oraz organizacyjnych - takich jak konserwacja dokumentów elektronicznych.
Więcej informacji o funkcjach skrótu w informatyce: "Wydłużanie skrótów", Computerworld, luty 2005