Potrzebne mocniejsze algorytmy
-
- 17.03.2009
Poszukiwania alternatywy
Amerykański Instytut Standardów i Technologii NIST nie czeka bezradnie, ale przygotowuje konkurs, który ma wyłonić następcę SHA-1, nową funkcję skrótu SHA-3. Trwa on od grudnia 2008 r. Nowy algorytm ma być opublikowany w 2012 r. "Zalecamy wszystkim klientom, którzy używają MD5, by niezwłocznie zmienili algorytm skrótu na SHA-256. Ci, którzy używają SHA-1, na razie mogą z niego korzystać, dopóki nie pojawi się jego następca. Przygotowanie do migracji jest istotne, szczególnie gdy można się spodziewać dalszego łamania obecnie używanego algorytmu SHA-1" - mówi Paul Kocher.
Organizacja NIST właśnie wydała publikację specjalną 800-107 - Rekomendacje dla aplikacji używających zaaprobowanych algorytmów skrótu kryptograficznego, dedykowaną dla instytucji, które są zainteresowane zapoznaniem się z zaleceniami dotyczącymi obsługi algorytmów zaaprobowanych przez amerykańskie władze federalne. W tej publikacji omawiane są zasady, których przestrzeganie umożliwi osiągnięcie wymaganego poziomu bezpieczeństwa przy użyciu algorytmów zalecanych przez Federal Information Processing Standard.
Pod koniec 2009 r. NIST uprościł FIPS (wydanie FIPS 180-3), poszerzając listę zaaprobowanych algorytmów, która obecnie zawiera: SHA-1, SHA-224, SHA-256, SHA-384 i SHA-512. Wydano ponadto publikację specjalną 800-106 - Randomized Hashing for Digital Signatures, która szczegółowo omawia jak wzmocnić skrót kryptograficzny związany z cyfrowym podpisem danej wiadomości poprzez jej odpowiednią modyfikację. Funkcje skrótu związane z dokumentem lub wiadomością zapewnią integralność przesyłanych danych.
W publikacji 800-107 zauważono także, że chociaż niektóre funkcje skrótu nie są wystarczająco bezpieczne dla najważniejszych zastosowań (uwierzytelnienie), z powodzeniem mogą być nadal wykorzystywane w innych, gdzie tak wysoki poziom bezpieczeństwa nie jest wymagany (np. do deduplikacji mało istotnych danych). Dokument ten szczegółowo omawia moc kryptograficzną każdego z algorytmów, odporność na kolizje i atak pre-image (odtworzenie treści na podstawie skrótu). Warto skorzystać z wiedzy zawartej w tym dokumencie, gdyż do niektórych migracji należy się przygotowywać już teraz.
"Konkurs powinien przynieść rezultaty w postaci dość dobrego algorytmu. Niemniej decyzje nie mogą być podejmowanie pochopnie, gdyż zwycięski algorytm będzie używany przez lata, więc musi być wybrany ze szczególną ostrożnością" - konkluduje Paul Kocher.
Złamanie MD5 oznacza, że można utworzyć fałszywe certyfikaty, za pomocą których można oszukać internautów odwiedzających daną witrynę. Przy takim ataku, fałszywa witryna jest wyświetlana jakby była prawdziwa, z prawidłowym certyfikatem, który ma wszystkie cechy legalności. Jest to idealne narzędzie dla przestępców, posługujących się phishingiem. Dość szybko po opublikowaniu informacji o udanym łamaniu MD5, VeriSign zaktualizowała wszystkie certyfikaty utworzone z użyciem MD5, tym razem funkcją skrótu jest SHA-1. Ponieważ MD5 jest powszechnie używane przy kontroli autentyczności pliku pobranego z serwera WWW, należy rozważać migrację do nowszych algorytmów skrótu, gdyż MD5 nie zapewnia już żądanego poziomu bezpieczeństwa.
