Interesujące wydarzenia kryptograficzne w ostatnim półroczu

Poniżej podsumujemy ciekawe wydarzenia związane z bezpieczeństwem i kryptografią, które wydarzyły się w ostatnich półroczu - m.in. ataki na XML Signature, szyfr AES, krzywe eliptyczne, karty Mifare i protokół SSH-2.

Na początku lipca CERT poinformował (US CERT VU#466161) o odkryciu dość poważnego błędu w dotychczas obowiązującej specyfikacji XML Signature. Brak ograniczenia możliwości redukowania długości skrótu za pomocą parametru ds:HMACOutputLength umożliwia składanie poprawnego podpisu o praktycznie zerowej wartości dowodowej. Błędna - ale zgodna ze specyfikacją - implementacja może bowiem skrócić wynik skrótu HMAC na przykład do jednego bita. O tym, że takie implementacje były dostępne na rynku świadczy reakcja producentów oraz wypuszczenie nowej wersji jednej z najpopularniejszych bibliotek xmlsec. Poprawiona specyfikacja (errata do drugiego wydania XML Signature) wymaga co najmniej 80 bitów HMAC. Ze względu na rozpowszechnienie XML Signature w mechanizmach podpisu elektronicznego i protokołach sieciowych jest to problem poważny i projektanci oprogramowania powinni się nim zainteresować.

Z kolei nowy wariant ataku na szyfr AES wzbudził zainteresowanie ze wzgledu na to, że pod pewnymi warunkami umożliwia on zredukowanie złożoności łamania klucza AES o długości 256 do 2^{119}. Co ciekawe atak redukuje AES-192 tylko do 2^{176} i nie dotyczy AES-128. Jest to atak z użyciem kluczy pokrewnych (related key) i nadal poziom złożoności jest daleko poza naszym zasięgiem. Jest to najbardziej zaawansowany znany publicznie atak na AES, który udało się znaleźć dopiero po 8 latach od publikacji AES jako standardu i ponad 10 lat od publikacji szyfru Rijndael w ogóle. Jest to więc informacja ciekawa z kryptograficznego punktu widzenia, ale nie mająca większego wpływu na bezpieczeństwo większości produktów kryptograficznych używających AES.

Również w lipcu zespół z Politechniki w Lozannie (Szwajcaria) doniósł o złamaniu krzywej eliptycznej opartej o problem logarytmów dyskretnych (ECDLP) o długosci 112 bitów. Złamanie krzywej określanej w standardach jako krzywa secp112r1 zajęło naukowcom prawie pół roku. Dokonano tego przy pomocy klastra ponad 200 maszyn przy pomocy klastra Sony Playstation 3, które wykonały pracę porównywalną ze złamaniem czternastu 56-bitowych kluczy DES.