26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5
[styczeń] luty marzec
kwiecień maj czerwiec
lipiec sierpień
wrzesień październik
listopad grudzień
Aktualny poziom bezpieczeństwa funkcji skrótu
Wpis z dnia: 2009-03-20, z godziny: 15:00
Opublikowany w ubiegłym miesiącu dokument NIST SP 800-107 zawiera, poza głównym tematem jakim jest randomizowany skrót na potrzeby podpisu cyfrowego, także interesującą analizę aktualnego stanu bezpieczeństwa kryptograficznych funkcji skrótu.

Pod uwage brana jest funkcja SHA1 oraz funkcje z serii SHA-2 czyli SHA-224, SHA-256, SHA-384 i SHA-512. Ich praktyczna odporność na ataki dotykające funkcji haszujących jest przedstawiona w poniższe tabeli zaczerpniętej z SP 800-107. Wszystkie odporności są mierzone w bitach:

Atak / FunkcjaSHA1 SHA-224 SHA-256 SHA-384 SHA-512
Kolizja <80 112 128 192 256
Preimage 160 224 256 384 512
Second preimage 105-160 201-224 201-256 384 394-512


Dla SHA-1 podana jest wartość <80 czyli "mniej niż 80". Jest to o tyle istotne, że wartość 80 bitów to dolna granica złożoności obliczeniowej (odporności), jaką posługuje się NIST w stosunku do podstawowych algorytmów kryptograficznych. Aktualny szacunek dla SHA-1 według SP 800-107 to 60 bitów, czyli grubo poniżej granicy 80 bitów.

Podane wartości mają istotne znaczenie dla wyboru funkcji skrótu w różnych zastosowaniach. Na przykład większość dostępnych w Internecie serwerów SSL (banków, sklepów internetowych) negocjuje domyślnie SSL z funkcją skrótu MD5 i nie wywołuje to specjalnej sensacji, ze względu na krótkotrwały charakter tych połączeń.

Drugie zastosowanie funkcji skrótu w protokole SSL czyli ochrona autentyczności stron za pomocą certyfikatów X.509 wymaga długotrwałej odporności na wymienione ataki - i tutaj obecność MD5 w certyfikatach znanego CA niedawno umożliwiła ich podrobienie.

Zgodnie z zaleceniami NIST opisanymi we wspomnianej publikacji SP 800-107 oraz - szerzej - w 800-57 funkcja MD5 nie powinna być używana w zastosowaniach związanych z podpisem cyfrowym już od 1999 roku.

W stosunku do SHA-1 taką rekomendację wyznaczono na rok 2010. A ściślej, wyznaczono ją dla wszystkich algorytmów posługując się kryterium zapewnianej odporności mierzonej w bitach. I tak:

  • do 2010 roku powinny być używane algorytmy zapewniające minimum 80 bitów - nie powinny być stosowane klucze RSA i DSA krótsze niż 1024 bity,
  • w latach 2011-2030 powiny być używane algorytmy zapewniające min. 112 bitów - wycofany powinien zostać 3DES z dwoma kluczami (2TDEA), minimalna długość kluczy RSA i DSA to 2048 bitów,
  • po roku 2030 powinny być używane algorytmy zapewniające min. 128 bitów - wycofany powinien być każdy warian 3DES, minimalne długości kluczy RSA i DSA to 3072 bity

Zgodnie z zaleceniami SP 800-57 po aktualizacji w 2008 roku SHA-1 jako zapewniające odporność mniejszą niż 80 bitów nie powinno być stosowane w nowych implementacjach.

Komentarze:
Redakcja Computerworld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
goscIP: 79.185.250.11021-06-2011, 21:09
rzeczywiscie podwojne szyfrowanie nie prowadzi do wnioskowanego przez ciebie wzrostu liczby kombinacji, a to za sprawa ataku ze spotkaniem w srodku (meet in the middle attack) - jesli jakis szyfr jest slaby, to podwojne go wykorzystanie go nic nie da, dopiero potrojne daje wzrost kombinacji poprawiajacy bezpieczenstwo jak na przykladzie 3DES: 3DES z trzema różnymi kluczami (3TDES) ma siłę 168 bitów: trzykrotne szyfrowanie DES kluczem 56-bitowym (wliczając bit parzystości siła 3DES wynosi 192 bity), jednak ze względu na atak typu meet in the middle siła 3DES-a wynosi 2do112 potegi czyli 2do56 x 2do56.
filIP: 89.229.147.3614-04-2011, 11:09
Jak w takim razie prezentuje się siła skrótu zawarta w algorytmie RIPEMD-160 ?
Czy aktualnie jest to mocne zabezpieczenie?

Klucz 256 wygląda obecnie na za słaby, ale czy uzycie podwójnego klucza np. AES-Twofish (oba 256) jest wystarczająco silne. Gdzieś czytałem że odgadnięcie klucza 256 bitowego przy np. podwójnym szyfrowaniu wcale nie prowadzi do wzrostu kombinacji według "ilość kombinacji x ilośc kombinacji" a nadal odgadując klucz będzie to szukanie 256 bitowego klucza "wynikowego". Czy to słuszne twierdzenie? może ma zastosowanie tylko gdy drugie szyfrowanie także jest tą samą metodą np. 2 X AES ale czy użycie AES-Twofish także podlegałoby tej samej regule, że skoro siła najmocniejszego klucza składowego to 256 to niezależnie od liczby szyfrowań wystarczy odgadnąć wynikowy klucz o sile 256?




Liczba zatwierdzonych komentarzy: 2      dodaj swój komentarz  
Serwisy IDG: IDG.pl | PC World Komputer | Computerworld | NetWorld | Kino Domowe | Zoom | Digit | CEO | CIO | CFO | CMO | CSO | Macworld | Tips & Tricks | Gamestar | Internet Standard | IT Partner | IT Standard | Kupuj.pl | JobUniverse | CyberJoy | Fotografia
Korzystanie z serwisu Bywalec Computerworld jest jednoznaczne z wyrażeniem zgody na następujące warunki obsługi. Regulamin korzystania z serwisu. Serwis realizuje wytyczne ASME oraz uzupełnienia IDG dotyczące zasad publikacji w mediach elektronicznych.
© copyright 2012 IDG Poland SA
04-204 Warszawa ul. Jordanowska 12
tel. (+48 22) 321 78 00  fax (+48 22) 321 78 88