Teoretický základ a přehled kryptografických hashovacích funkcí

Transkript

1 Teoretický základ a přehled kryptografických hashovacích funkcí Radim Ošťádal Březen Úvod Kryptografické hashovací funkce jsou jedním ze základních primitiv současné kryptografie. V této práci se nejprve věnuji definici základních vlastností, které musí kryptografická hashovací funkce mít. V druhé části práce potom podávám seznam jednotlivých funkcí. Zaměřuji se především na to, jak fungují, dále potom kladu důraz na jejich použitelnost z bezpečnostního hlediska. 2 Vlastnosti hashovacích funkcí Hashovací funkce je matematická funkce, která slouží pro převod vstupních dat na výstup fixní délky. Tento výstup můžeme označovat následujícím způsobem: výtah, otisk, hash, haš, fingerprint. Hashovací funkce mají využití například pro rychlejší prohledávání tabulky, při porovnávání dat nebo odstraňování duplicitních záznamů v databázi. V tomto případě se většinou nejedná o kryptografickou hashovací funkci, o které budeme mluvit později. Přesnou definici udává Definice 1. Definice 1: Hashovací funkce převádí libovolně dlouhou zprávu na kratší, která má fixní délku. Takto vytvořenou zprávu nazýváme hash nebo otisk původní zprávy. h: {0, 1}* --> {0, 1} m h: {0, 1} n --> {0, 1} m, n >> m Abychom mohli mluvit o kryptograficky dobré hashovací funkci, musí tato funkce splňovat několik dalších vlastností. Kryptografická hashovací funkce se využívá především pro autentizaci dat, integritu nebo při použítí digitálních podpisů. Abychom si ukázali potřebné vlastnosti, nejprve si naznačíme některé možné útoky na hashovací funkci, například při použití dohromady s digitálním podpisem. Nechť (w, s) je platný podpis, kde s = sigk(h(w)) a my jsme schopni najít takové w, že h(w) = h(w ). Potom bychom byli shopni vytvořit platný podpis (w, s) pro podvrhnutou zprávu w. První požadovanou vlastnost nám tedy udává Definice 2. Definice 2: Slabá bezkoliznost nechť w je zpráva. Hashovací funkce h má vlastnost slabé bezkoliznosti, pokud je výpočetně nemožné najít w takové, že h(w) = h(w ). 1

2 Pokud je útočník schopný najít w a w takové, že h(w) = h(w ), může požádat oběť aby podepsala h(w), získat tímto způsobem podpis s a následně vytvořit podvrhnutou zprávu s platným podpisem (w, s). Další požadovanou vlastnost nám udává Definice 3. Definice 3: Silná bezkoliznost hashovací funkce h je silně bezkolizní, pokud je výpočetně nemožné najít dvě zprávy w w takové, že h(w) = h(w ). Poslední útok, který momentálně připadá v úvahu, je tento: nechť z je náhodný hash ke kterému je útočník schopný získat platný podpis s. Pokud umí následně najít zprávu w takovou, že z = h(w), je schopen vytvořit podvrhnutou zprávu s platným podpisem (w, s). Poslední vlastností je tedy jednosměrnost, kterou můžete najít v Definici 4. Definice 4: Jednosměrná funkce hashovací funkce h je jednosměrná, pokud je výpočetně nemožné najít zprávu w, známe-li z takové, že platí h(w) = z. Hashovací funkci, která je jednosměrná a splňuje vlastnosti předepsané slabou a silnou bezkolizností, nazveme kryptograficky dobrou hashovací funkcí. Mezi další vlastnosti potom patří lavinový efekt, který je definován následovně: Pokud změníme 1 bit originální zprávy, potom se změní i každý bit výsledného hashe s pravděpodobností jedna polovina. Tato vlastnost nám zajistí, že i velice podobné zprávy produkují naprosto rozdílné hashe. 2.1 Narozeninový paradox Narozeninový paradox nám říká, že pokud máme v místnosti 23 lidí, existuje přibližně padesátiprocentní šance, že se dva z nich narodili ve stejný den. Toto je velice důležitý fakt, který nám dává dolní ohraničení pro délku hashe produkovaného dobrou kryptografickou hashovací funkcí. Zde je přesná definice: Definice 5: Pokud máme n objektů a r lidí, ze kterých si každý vybírá jeden objekt (tak, že si několik lidí může vybrat stejný objekt), a pokud platí, že r 1,177*odmocnina(n), potom pravděpodobnost, že si dva lidé vyberou stejný objekt, je 50 procent. Pokud budeme mít například 40-bitovou zprávu, abychom našli kolizi s pravděpodobností 0,5, potřebujeme pouze 2^20 náhodných hashů. Minimální akceptovaná délka hashe je v dnešní době přibližně 160 bitů, doporučovaná však 256 bitů. 3 Přehled jednotlivých hashovacích funkcí: V této kapitole popisuji jednotlivé hashovací funkce. Nejprve se zabývám těmi, které se dnes již nepoužívají a pro které jsou již známé zranitelnosti. Dále se věnuji funkcím z rodiny SHA a nakonec se zabývám soutěží, ze které by měl vzejít nástupce dnes používaných hashovacích funkcí. 2

3 3.1 Message-Diggest Algorithm 4 (MD4) MD4 je hashovací algoritmus, který byl vyvinut roku 1990 a jeho autor je Ronald Rivest. Tento algoritmus je zdokumentován v RFC The MD4 Message-Digest Algorithm [101]. Výsledný hash má délku 128b. V roce 1995 byl publikován způsob, jak efektivně najít kolize [102] a tento algoritmus od té doby není považován za bezpečný. Celý algoritmus je rozdělen do následujících pěti kroků [101]: 1. Dopňění zprávy na jednotnou délku: nechť M je zpráva, která má být hashována; nechť b je délka zprávy v bitech; doplň zprávu tak, aby její délka byla 448 (mod 512) jedna jednička následována nulami. 2. Doplnění délky zprávy: přidej 64-bitovou reprezentaci b; délka zprávy je nyní zarovnaná na celých 512 bitů, tzn. máme bloky po šestnácti 32-bitových slov. Nechť zpráva M = (Y0, Y1,...,), kde Yi je 32-bitové slovo. 3. Inicializace bufferů: po celý výpočet pracujeme s buffery A, B, C, D každý 32b a jsou použity pro výpočet výsledného hashe; iniciální hodnoty jsou následující: o A: o B: 89 ab cd ef o C: fe dc ba 98 o D: Zpracování zprávy po blocích (jeden blok je bitových slov): nejprve definujeme 3 funkce, které použijeme v následujícím algoritmu: o F(X,Y,Z) = (X AND Y) OR (NOT(X) AND Z) o G(X,Y,Z) = (X AND Y) OR (X AND Z) OR (Y AND Z) o H(X,Y,Z) = X XOR Y XOR Z zkopíruj blok i do X; For j = 0 to 15 do Set X[j] to M[i*16+j]. end zkopíruj A do AA, B do BB, C do CC, D do DD; AA = A BB = B CC = C DD = D první kolo nechť [abcd k s] znamená a = (a + F(b,c,d) + X[k]) <<< s, kde X <<< s znamená 32-bitovou hodnotu cyklicky posunutou doleva o s bitů; [ABCD 0 3] [DABC 1 7] [CDAB 2 11] [BCDA 3 19] [ABCD 4 3] [DABC 5 7] [CDAB 6 11] [BCDA 7 19] [ABCD 8 3] [DABC 9 7] [CDAB 10 11] [BCDA 11 19] [ABCD 12 3] [DABC 13 7] [CDAB 14 11] [BCDA 15 19] druhé kolo nechť [abcd k s] znamená a = (a + G(b,c,d) + X[k] + 5A827999) <<< s; [ABCD 0 3] [DABC 4 5] [CDAB 8 9] [BCDA 12 13] [ABCD 1 3] [DABC 5 5] [CDAB 9 9] [BCDA 13 13] [ABCD 2 3] [DABC 6 5] [CDAB 10 9] [BCDA 14 13] 3

4 [ABCD 3 3] [DABC 7 5] [CDAB 11 9] [BCDA 15 13] třetí kolo nechť [abcd k s] znamená a = (a + H(b,c,d) + X[k] + 6ED9EBA1) <<< s; [ABCD 0 3] [DABC 8 9] [CDAB 4 11] [BCDA 12 15] [ABCD 2 3] [DABC 10 9] [CDAB 6 11] [BCDA 14 15] [ABCD 1 3] [DABC 9 9] [CDAB 5 11] [BCDA 13 15] [ABCD 3 3] [DABC 11 9] [CDAB 7 11] [BCDA 15 15] updatování bufferů. A = A + AA B = B + BB C = C + CC D = D + DD 5. Výstupem algoritmu je zřetězení bufferů A, B, C a D. 3.2 Message-Diggest Algorithm 5 (MD5) Algoritmus MD5 navazuje přímo na svého předchůdce MD4 a byl publikován roku Jeho autorem je opět Ron Rivest a přesná specifikace algoritmu je v RFC The MD5 Message-Digest Algorithm [103]. Tento algoritmus se stále využívá, přestože již není považován za bezpečný. Významnější problémy byly nalezeny a publikovány v roce 2004 [104] popis, jak vytvořit dva soubory, které sdílí MD5 hash. Algoritmus je velmi podobný svému předchůdci a mezi hlavní rozlíly patří [103]: bylo přídáno 4. kolo; v každém kroku přidáváme unikátní konstantu; funkce G v druhém kole byla změněna; rychlejší lavinový efekt. 3.3 Secure Hash Algorithm 1 (SHA-1) Hashovací funkce SHA-1 byla vydána v roce 1993 ve spolupráci National Institute of Standards and Technology (NIST) a National Security Agency (NSA). Nejnovější verze je standardizována jako FIPS [105] a RFC3174 US Secure Hash Algorithm 1 (SHA1) [106]. Tato funkce opět staví na základech vytvořených hashovacími funkcemi MD4 a MD5, ale je komplikovanější než tyto dvě funkce. SHA-1 produkuje 160-bitový hash a od roku 2010 je doporučeno nepoužívat tuto funkci pro aplikace, ve kterých se vyžaduje vyšší bezpečnost. Mezi hlavní použití potom patří protokoly Transport Layer Security (TLS), Secure Sockets Layer (SSL), Pretty Good Privacy (PGP), Secure Shell (SSH), Secure/Multipurpose Internet Mail Extensions (S/MIME) a IP Security (IPSec). Schématický zápis algoritmu potom vypadá následně [106]: 1. Doplnění zprávy na jednotnou délku stejné jako u MD4 a MD5. 2. Doplnění délky zprávy stejné jako u MD4 a MD5. 3. Inicializace bufferů tentokrát používáme 5 bufferů místo Samotný algoritmus tentokrát mnohem složitější, zprávu dělíme po 512-bitech. Ty uložíme jako 16 slov a dalších 64 vygenerujeme. Provedeme 4 kola stejně jako u MD5, přičemž v každém kole využíváme jinou funkci a jiné konstanty. Každé kolo obsahuje 20 iterací. Nakonec se updatují buffery. 5. Výsledkem jsou zřetězené buffery. 4

5 3.4 Secure Hash Algorithm 2 (SHA-2) Hashovací funkce SHA-2 je následníkem hashovací funkce SHA-1. Byla vydána opět ve spolupráci NIST a NSA v roce Nové verze jsou následující SHA-256, SHA-384, SHA-512. Čísla ve jménech funkce odpovídají délce výsledného hashe. Aktuálním standardem pro SHA-2 je FIPS [107]. Další verze byla poté přidána v roce 2007 a délka výsledného hashe je v tomto případě 224 bitů. Standardem pro tuto funkci je FIPS [108]. Zatím nebyly nalezeny žádné bezpečnostní problémy spojené s touto hashovací funkcí. Strukta je velice podobná funkci SHA-1, nicméně úroveň bezpečnosti je vyšší. 3.5 WHIRLPOOL Jedná se o méně známou hashovací funkci, která byla vytvořena Vincenterm Rijmenem (který spolupracoval na vytvoření AES algoritmu) a Paulem Barretem. První verze Whirlpool-0 byla publikována v roce Druhá verze Whirlpool-T byla vybrána pro New European Schemes for Signatures, Integrity and Encryption (NESSIE) projekt. Třetí a poslední verze byla vydaná a přijata jako International Organization for Standardization (ISO) standard ISO/IEC ISO :2004. Whirlpool používá upravený AES algoritmus jako svůj základ a produkuje hash délky 512 bitů. Jedná se o relativně nový návrh, takže stále není dostatek zkušeností s touto funkcí. Výkon je o něco lepší než v případě SHA funkcí, ovšem i za vyšších požadavků na hardware. 3.6 Secure Hash Algorithm 3 (SHA-3) Přestože se zatím neobjevily žádné zranitelnosti v hashovacích funkcích z rodiny SHA-2, z historických zkušeností se dá předpokládat, že se tak nakonec stane. Z tohoto důvodu byla již v roce 2008 vyhlášena otevřená soutěž, která má za úkol najít nástupce SHA-2, zatím označovaného jako SHA-3. Soutěž stále probíhá a vítěz se očekává během tohoto roku (2012). Do sotěže se příhlásilo 64 účastníků, z nichž byl povolen vstup do prvního kola pouze 51. Do druhého kola potom postoupilo 14 kandidátů. Nedávno byli vyhlášeni finalisté soutěže a těmi se stali BLAKE, Grøstl, JH, Keccak a Skein. Veškeré informace, které se vzathují k jednotlivým funkcím a také k celé soutěži, je možné najít na internetových stránkách organizace [109]. 4 Seznam použité literatury [1] RIVEST, R. RFC 1320 The MD4 Message-Digest Algorithm [online] [cit. 20. března 2012]. Dostupné na: < [2] DOBBERTIN, H. Cryptanalysis of MD4 [online] [cit. 20. března 2012]. Dostupné na: < [3] RIVEST, R. The MD5 Message-Digest Algorithm [online] [cit. 20. března 2012]. Dostupné na: < [4] BLACK, J., COCHRAN, M., HIGHLAND, T. A Study of the MD5 Attacks: Insights and Improvements [online] [cit. 25. března 2012]. Dostupné na: < 5

6 [5] FIPS PUB Secure Hash Standard [online] [cit. 25. března 2012]. Dostupné na: < [6] EASTLAKE, D., JONES, P. RFC 3174 US Secure Hash Algorithm 1 (SHA1) [online]. [cit. 25. března 2012]. Dostupné na: < rfc3174.html#b>. [7] FIPS PUB Secure Hash Standard [online] [cit. 25. března 2012]. Dostupné na: < [8] FIPS PUB Secure Hash Standard [online] [cit. 26. března 2012]. Dostupné na: < [9] NIST Computer Security Division [online]. [cit. 26. března 2012]. Dostupné na: < 6