Potrzebne mocniejsze algorytmy

Subskrybuj RSS A A A
17 marca 2009
Marcin Marciniak

Dzisiejsze algorytmy kryptograficzne są słabe. NIST rozpoczęła więc konkurs na opracowanie nowej funkcji haszującej SHA-3, która ma w przyszłości zastąpić SHA-1 i SHA-2.

Ataki kierowane przeciw algorytmom kryptograficznym nie są niczym nowym, ale zawsze zwracają uwagę specjalistów. Przykładem może być atak zaprezentowany na 25. konferencji Annual Chaos Communication Congress w Berlinie. Aleksander Sotirow i Jacob Appelbaum, badacze z Politechniki Eindhoven zaprezentowali podrobienie certyfikatów, bazujące na złamaniu algorytmu haszującego MD5, używanego np. przez VeriSign przy certyfikatach niektórych witryn. Złamanie MD5 wymagało olbrzymiej mocy obliczeniowej, którą dostarczyło ok. 200 konsol Sony PlayStation. Utworzony w ten sposób fałszywy certyfikat umożliwia kradzież tożsamości witryny, a także ułatwia późniejsze ataki phishingowe.

Konieczność zmiany

200
konsol Sony PlayStation wymagało złamanie algorytmu MD5.
Funkcje haszujące są używane przy tworzeniu kluczy w algorytmach klucza publicznego i tworzą cyfrowe podpisy autentyczności stron WWW i aplikacji. Są także używane przy uwierzytelnieniu w wielu aplikacjach, wliczając bardzo rozpowszechnione SSL, wykorzystywane np. przy bezpiecznym połączeniu do witryn WWW, w tunelach SSL-VPN. Ta sama funkcja skrótu jest używana przy ochronie danych, wykrywając zmianę zawartości pliku, a także przy deduplikacji danych. Bardzo wiele pobieranych przez Internet plików zawiera opublikowaną sumę kontrolną właśnie w postaci skrótu kryptograficznego MD5, która umożliwia wykrycie przypadkowej lub celowej zmiany zawartości pliku.

Eksperci ds. bezpieczeństwa teleinformatycznego od kilku lat nalegają na migrację ze starego algorytmu MD5 co najmniej do SHA-1 (Secure Hash Algorithm-1), który jest bezpieczniejszy. Choć według nich, SHA-1 jest zbyt słaby i może zapewnić bezpieczeństwo co najwyżej przez kilka lat, zanim jego bezpieczeństwo będzie niewystarczające i zanim podzieli los MD5. "Algorytm MD5 został złamany, ale nadal zbyt wiele ludzi go używa. Obecne badania pokazują, jak łatwo podrobić certyfikaty wykorzystujące MD5. Organizacje, które zmieniły algorytm na SHA-1, mogą się spodziewać, że za kilka najbliższych lat czeka ich podobna zmiana" - mówi Paul Kocher, prezes Cryptography Research, która pomagała w opracowaniu standardu SSL 3.0.

"Nie wiadomo kiedy pojawi się kolejna istotna luka w bezpieczeństwie SHA-1. Niewątpliwie to nastąpi, mamy zatem czas na migrację z tego algorytmu, zanim będzie za późno" - mówi Paul Kocher. Pierwszą lukę ujawniono w 2005 r., gdy kilku badaczy z chińskiego uniwersytetu zademonstrowało udany atak kolizyjny przy 2^69 operacji. Większość ekspertów jest zdania, że wykrycie kolejnych luk jest tylko kwestią czasu i nastąpi w ciągu kilku lat.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.

Oceń artykuł

średnio: 5 liczba ocen: 1
1  2  dalej »
Podziel się |

Komentarze (0)

+Dodaj komentarz

Najpopularniejsze

Najnowsze

Państwo do konsolidacji

Państwo do konsolidacji
Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

Zarządzanie po japońsku
W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

e-Sąd z odsieczą sprawiedliwości
Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

e-Zdrowie w Polsce i na świecie
Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa
Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Cyberprzestępcy podążają za użytkownikami
Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Jak zaplanować karierę w branży IT
Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje



Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
 © Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88