Vlastimil Klíma. Seminár Bezpecnost Informacních Systému v praxi, MFF UK Praha,

Podobné dokumenty
Nedůvěřujte kryptologům

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

5. Hašovací funkce, MD5, SHA-x, HMAC. doc. Ing. Róbert Lórencz, CSc.

III. Mody činnosti blokových šifer a hašovací funkce

Hašovací funkce, principy, příklady a kolize

(Ne)popiratelnost digitálních podpisů. Cíl přednášky. Jazyková vsuvka

Crypto-World. Informační sešit GCUCMP. 11/ speciál

Operační mody blokových šifer a hašovací algoritmy. šifer. Bloková šifra. šifer. Útoky na operační modus ECB

SHA-3. Úvod do kryptologie. 29. dubna 2013

Kryptologie a kombinatorika na slovech. 6. března 2013

Hashovací funkce. Andrew Kozlík KA MFF UK

Hashovací funkce a SHA 3

Kryptografie - Síla šifer

Univerzita Karlova v Praze Matematicko-fyzikální fakulta BAKALÁŘSKÁ PRÁCE. Martin Suchan. Porovnání současných a nových hašovacích funkcí

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Karel Kohout 18. května 2010

DEMONSTRAČNÍ APLIKACE HASHOVACÍCH ALGORITMŮ SHA-1 A SHA-2

Stavební bloky kryptografie. Kamil Malinka Fakulta informačních technologií

vá ro ko Sý ětuše Kv

PV157 Autentizace a řízení přístupu

Andrew Kozlík KA MFF UK

Proudové šifry a posuvné registry s lineární zpětnou vazbou

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Vybrané útoky proti hašovací funkci MD5

A. Poznámka k lineárním aproximacím kryptografické hašovací funkce BLUE MIDNIGHT WISH

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

Jednocestné zabezpečení citlivých údajů v databázi

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007


Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Současná kryptologie v praxi

Pokroky matematiky, fyziky a astronomie

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Výsledky bezpečnostního auditu TrueCryptu. Ing. Josef Kokeš. CryptoFest 2015

Nepopiratelnost digitálních podpisů

Garantovaná a bezpečná archivace dokumentů. Miroslav Šedivý, Telefónica CZ

Monday, June 13, Garantovaná a bezpečná archivace dokumentů

Aplikovaná kryptoanalýza. Dr. Tomáš Rosa,

Diffieho-Hellmanův protokol ustanovení klíče

Kryptoanalýza. Kamil Malinka Fakulta informačních technologií. Kryptografie a informační bezpečnost, Kamil Malinka 2008

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

Kryptografie založená na problému diskrétního logaritmu

Teoretický základ a přehled kryptografických hashovacích funkcí

Bezpečnostní mechanismy

Crypto-World Informační sešit GCUCMP ISSN

Od Enigmy k PKI. principy moderní kryptografie T-SEC4 / L3. Tomáš Herout Cisco. Praha, hotel Clarion dubna 2013.

Archivujeme pro budoucnost, nikoliv pro současnost. Miroslav Šedivý Telefónica ČR

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Osnova přednášky. Seznámení s asymetrickou kryptografií, díl 2. Podpisová schémata -elementární principy- (1)

Problematika náhodných a pseudonáhodných sekvencí v kryptografických eskalačních protokolech a implementacích na čipových kartách

Šifrová ochrana informací věk počítačů PS5-2

UKRY - Symetrické blokové šifry

Šifrová ochrana informací věk počítačů PS5-2

Digitální podepisování pomocí asymetrické kryptografie

Vzdálenost jednoznačnosti a absolutně

MFF UK Praha, 22. duben 2008

12. Bezpečnost počítačových sítí

Současná kryptologie v praxi

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY. Autentizace dat. Bc. David Cimbůrek

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

Šifrová ochrana informací věk počítačů PS5-1

Digitální podepisování pomocí asymetrické kryptografie

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Nalézání kolizí MD5 na notebooku pomocí mnohonásobných modifikací zprávy

Informatika / bezpečnost

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

SIM karty a bezpečnost v mobilních sítích

MODERNÍ METODY OVĚŘENÍ IDENTITY UŽIVATELŮ

Konstrukce šifer. Andrew Kozlík KA MFF UK

Základy kryptografie. Beret CryptoParty Základy kryptografie 1/17

INFORMAČNÍ BEZPEČNOST

Kryptografie a počítačová bezpečnost

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Správa přístupu PS3-2

KPB. Režimy činnosti symetrických šifer - dokončení. KPB 2015/16, 7. přednáška 1

klasická kryptologie základní pojmy požadavky na kryptosystém typologie šifer transpoziční šifry substituční šifry

BEZPEČNOST INFORMACÍ

MASARYKOVA UNIVERZITA

Informačná bezpečnosť 2. Hash funkcie. Ján Karabáš

Data Encryption Standard (DES)

Moderní kryptografie

Digitální podepisování pomocí asymetrické kryptografie

Základy moderní kryptologie Symetrická kryptografie I.

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

základní informace o kurzu základní pojmy literatura ukončení, požadavky, podmiňující předměty,

Šifrování flash a jiných datových úložišť

Téma bakalářských a diplomových prací 2014/2015 řešených při

BI-BEZ Bezpečnost. Proudové šifry, blokové šifry, DES, 3DES, AES,

Masarykova univerzita Fakulta informatiky. Kontrola integrity dat hašovacími funkcemi

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Odolnost kryptografického HW s ohledem na nasazení

7. Proudové šifry, blokové šifry, DES, 3DES, AES, operační módy. doc. Ing. Róbert Lórencz, CSc.

DIPLOMOVÁ PRÁCE. Matematické základy Stevensova algoritmu

4. Teorie informace, teorie složitosti algoritmů. doc. Ing. Róbert Lórencz, CSc.

Jak ze čtverce udělat kruh. Operační mody blokových šifer, náhodná čísla. praxe: kryptografie

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Aplikační úrovně GRI GRI. Verze 3.0

3. přednáška Legislativa v telekomunikacích

Transkript:

ašovací unkce, MD5 a cínský útok Obsah (1) To nejlepší, co pro vás kryptologové mohou udelat je, když vás presvedcí, abyste jim slepe neduverovali. Je to nutná podmínka pro to, abyste ani vy ani oni neusnuli na vavrínech. Vlastimil Klíma v.klima@volny.cz, http://cryptography.hyperlink.cz Seminár Bezpecnost Inormacních Systému v praxi, MFF UK Praha, 22. 11. 2004 1 prolomení hašovacích unkcí MD5, MD4, SA-0, AVAL- 128, RIPEMD v dobe konání konerence CRPTO 2004 objev v kryptoanalýze, který bude mít vliv na bezpecnostní praxi v sektoru IS/IT cínský výzkumný tým nezverejnil metody prolamování, jen výsledky (kolize) zpusoby využití hašovacích unkcí v protokolech a aplikacích vysvetlení a komentování prolomení praktické dusledky 2 Obsah (2) kde je nutné MD5 vymenit, a kde ješte lze MD5 používat zm enit postoj ke kryptograickým technikám jako k necemu zvláštnímu a pracovat s nimi jako s jakýmikoliv jinými bezpecnostními nástroji, to znamená a priori neduverovat, sledovat vývoj v dané oblasti a bežne provádet update nebo upgrade nutnost vyvíjet nové aplikace kryptograicky modulárne protože se to tak nedelo, bude nyní velmi obtížné vymenit prolomené hašovací unkce, zejména MD5, Manažerské shrnutí Provést revizi všech aplikací, kde jsou použity hašovací unkce MD4, MD5, SA-0, RIPEMD a AVAL-128. Je-li nekterá z techto unkcí použita pro úcely digitálních podpisu(s klasickým úcelem zajištení nepopiratelnosti), je nutno tuto unkci nahradit. Podle okolností provést náhradu za nekterou z unkcí, které jsou považovány za bezpecné: SA-1, SA-256, SA-384 nebo SA-512, nejlépe SA-512. Je-li nekterá z techto unkcí použita pro úcely MAC nebo PRNG, nechat pro jistotu posoudit, zda je toto užití bezpecné nebo ne. Nové systémy budovat tak, aby se kryptograické nástroje v nich mohly pružne menit. Pokud je to možné, prejít na toto pravidlo postupne i u stávajících systému. Zajistit prubežné sledování vývoje aplikované kryptologie a zavést mechanismus pravidelného hodnocení používaných kryptograických technik. 3 4 ašovací unkce Kryptograická hašovací unkce Vlastnosti: Libovolne dlouhý vstup Pevne deinovaná délka výstupu zpráva M (objednávka, text, binární soubor, CD, DVD, DD,..) haš, hash, hašový kód = výstupní kód s predem pevne deinovanou délkou Príklady na MD5 128bitový hašový kód (M) 5 Jednocestnost (jednosmernost), preimage resistance Pro každé x je jednoduché vypocítat h(x) Pro náhodne volené x je výpocetne neproveditelné z h(x) urcit x Odolnost proti kolizi prvního rádu, collision resistance Je výpocetne neproveditelné nalézt libovolné ruzné x, y tak, že h(x) = h(y) Odolnost proti kolizi druhého rádu, second preimage resistance Je výpocetne neproveditelné k danému náhodnému x nalézt druhý vzor y ruzný od x tak, že h(x) = h(y) 6 1

Využití Integrita dat (s klícem nebo bez) Jedinecnost vztahu data haš (digitální otisk dat) Kontrola neporušenosti dat, shoda velkých souboru dat, prokazování autorství Ukládání hesel Autentizace (prokázání znalosti) Digitální podpisy 7 M M Odolnost proti kolizi 2 D+1-1 vzoru {0, 1} 0 až D 64 D = 2-1 Narozeninový paradox. Kolize lze nalézt narozeninovým paradoxem se složitostí 2 n/2 operací pro n- bitové hašovací kódy. Proc paradox? kolize 1. / 2. rádu Pokud lze nacházet významne jednodušeji, hašovací unkce se považuje za prolomenou. 2 128 obrazu {0, 1} 128 (M) = (M ) Bezpecnostní požadavky 8 Odolnost proti nalezení druhého vzoru Bezpecnostní požadavky Druhý vzor lze nalézt se složitostí 2 n operací pro n-bitové hašovací kódy Pokud lze nacházet významne jednodušeji, hašovací unkce se považuje za prolomenou. Náhodnost Bezpecnostní požadavky Casem se zacala využívat prirozená vlastnost hašovacích unkcí chovat se podobne jako náhodné orákulum (random oracle). Využití v PRNG, KDF. Pokud se najde významná odchylka od náhodného chování, hašovací unkce se považuje za prolomenou. 9 10 Bezpecnostní požadavky Dr. Wangová a kol. kolize našli Jádro veci, které bylo zapomenuto: ašovací unkce nejsou prokazatelne bezpecné nástrojea jejich bezpecnost (jednosmernost, bezkoliznost, náhodnost) závisí pouze na stavu vedy v oblasti kryptograie a kryptoanalýzy. Cas od casu se štestí zvrtne a nekterá šira, hašovací unkce nebo podpisové schéma padne díky odhalené slabine. Prolomení nekterých kryptograických technik musí být prijímáno nikoli jako neduvera v kryptologii, ale jako pruvodní jev rozvoje poznání v této oblasti. Jakmile nekdo nalezne kolizi hašovací unkce, je nejbezpecnejší tuto unkci vymenit za jinou. To je ideální rešení, které v praxi nekdy není možné. Potom je nutné zkoumat, v jakých aplikacích je hašovací unkce použita a které vlastnosti celého systému jsou ohroženy. Jak pracují hašovací unkce Jaké vlastnosti se využívají Jaké typy použití jsou kolizemi ohroženy 11 12 2

IV... M2 N2... Princip moderních hašovacích unkcí n e c 1 423 64 M 1 M 2 M 3... M 15 (i-1) Davies- Meyer 01100001 01100010 01100011 1 0...0 0...011000 M 16 Kontext i Kompresní unkce MD4, MD5, SA-1, SA-2,.. Inicializacní hodnota (konstanta IV) IV Kupní smlouva.....smluvní strany...... text... nec m(1) m(2) m(3) m(i)... m(n) (i-1) (i) kompresní unkce doplnek (n) Damgard- Merklovo zesílení m(i) jiná permu tace M i jiná permu tace M i jiná permu tace M i (i-1) m(i) Schéma zpracování jednoho bloku zprávy kompresní unkcí (i) 64 rund... pro ilustraci: Kompresní unkce MD5 (64 rund) iterativní hašovací unkce 13 14 (i) Na cem je založena jednosmernost? Know-howz oblasti blokových šier: Ze znalosti mnoha páru (OT, ŠT), tj. (vzor, obraz) nelze urcit klíc ašovaná zpráva necht vystupuje v roli klíce Zesložitení vícenásobným použitím zprávy Konstrukce Davies-Meyer posiluje jednosmernost a konúzi dodatecným prictením vzoru 512 bitu 512 bitu M2 512 bitu N2 512 bitu Úloha dierencních konstant Cínský útok IV M2 1 1 N2 2 15 16 Rozširování, varianta 1 Rozširování, varianty 2,3, predrazená zpráva T doplnená zpráva W libovolná shodná pripojená zpráva T:... 1 IV... 2 (i) M2 1 N2 odlišný zacátek Mimovolný únik inormací M2 N2 O1 P1 O2 P2 Z Q1 R1 Q2 R2 T 17 O2 P2 Z Q1 R1 T 18 3

Možnosti zneužití kolizí Zmena interpreta Podvržení souboru (certiikátu) se stejnou haší 19 20 Program zkoumání? Až bude zverejneno, jak to Cínani delají, být pripraveni ukázat kolize na smysluplných zprávách nebo souborech Využít 3-bitových zmen Zmenu interpreta Datových zmen + zmen interpreta Eventuelne se dobrat toho, jak nalézají kolize Co cínský útok neumí Neumí k dané zpráve vytvorit jinou, se stejnou haší (neumí kolizi druhého rádu) Umí vytvorit dva ruzné soubory (soucasne) se stejnou haší (kolizi prvního rádu) Nejsou (zatím) ohroženy minulé digitální podpisy, ale jsou ohroženy budoucí. Všude tam, kde útocník vytvárí soubor k digitálnímu podpisu, je nebezpecí vytvorení druhého alešného souboru. Jsou ohrožena další dve použití hašovacích unkcí? (MAC a PRF) 21 22 MAC ohrožen není (i-1) jedna aplikace kompresní unkce pro K xor ipad (i) jakoby nová (tajná) inicializacní hodnota pro hašování M Odchylky od náhodného chování (pro PRNG, PRF) Známe (M) Umíme vytvorit (M doplnek N) pro libovolné N K xor ipad M K jakoby nová (tajná) K xor opad... inicializacní hodnota pro hašování... MAC MAC-(K, M) = ( (K xor opad) ((K xor ipad) M) ) 23 Známe (K M) Umíme vytvorit (K M doplnek N) pro libovolné N Pokud umíme konstruovat kolize se stejne dlouhými zprávami, lze ze znalosti (M K) vytvorit (padelat) (M kolidující K) 24 4

PRF/PRNG PRNG pseudonáhodná unkce a generátor: zatím bezpecné, používat obezretne PKCS#5, generování klíce z passwordu: T 1 = (P S) T 2 = (T 1 ) T c = (T c-1 ) širovací klíc DK = T c <0..dkLen -1> PKCS#1 v.2.1, pseudonáhodný generátor MGF1 Seed - vetšinou n áhodné nastaven í ash seed 1000101100101000010... (seed 0x00000000), (seed 0x00000001), (seed 0x00000002), (seed 0x00000003),..... 25 Jak moc byla unkce narušena? V produktech, protokolech apod. je použití mnohonásobné Prolomenou hašovací unkci lze bud generálne vyloucit nebo posuzovat individuálne ( u nekterých autentizacních schémat kolize nevadí) Stavba bezpecnosti systému je vetšinou príliš krehká na to, aby nekterá vlastnost hašovací unkce mohla být oslabena Jednoznacne: kolidující unkce nesmí být použity pro digitální podpisy (nepopiratelnost) ash SSL PKCS#5 bezpecný systém RFC bezkoliznost zdroje entropie náhodnost ash jednosmernost a s h 26 Záver c.1 MD4, MD5, SA-0, RIPEMD a AVAL- 128 jsou prolomené SA-1, SA-256, SA-384 nebo SA-512 jsou bezpecné Doporucení NIST: používat trídu unkcí SA-2 do roku 2010 se predpokládá opuštení i SA-1 a prechod na SA-2 27 Literatura Výber z 18 položek z tišteného dokumentu (viz [ARCIV] http://cryptography.hyperlink.cz/2004/kolize_hash.htm): [WFL04]. Wang, D. Feng,. Lai,. u, "Collisions or ash Functions MD4, MD5, AVAL-128 and RIPEMD", rump session, CRPTO 2004, Cryptology eprint Archive, Report 2004/199, http://eprint.iacr.org/2004/199 [R04] Rosa T.: Nepopiratelnost digitálních podpisu, Druhá vedecká a pedagogická konerence ZMVS: Právní regulace inormacní spolecnosti, Trebíc, zárí 2004, Speciální stránka, venovaná tématu hašovacích unkcí http://cryptography.hyperlink.cz/2004/kolize_hash.htm [ARCIV] Archiv autora, obsahující clánky o kryptologii a bezpecnosti od r. 1993, http://cryptography.hyperlink.cz 28 Vloženo aktuálne Vloženo na základe objevné Kelsey-Schneierovy práce (publikované nekolik dní pred prednáškou) Práce ukazuje (viz záver c.2), že musíme zmenit bezpecnostní pohled na hašovací unkce, dnes bychom meli uvažovat, že jakékoliv jejich použití neposkytuje vyšší bezpecnost, než 2 n/2, dríve pro kolizi 2.rádu, PRNG, PRF apod. to bylo 2 n Dodatky: K-S, Joux, Wangová & kol. Second Preimages on n-bit ash Functions or Much Less than 2^n Work John Kelsey and Bruce Schneier 15.11.2004, http://eprint.iacr.org/2004/304/ Ukázali jak nalézt druhý vzor u všech iterativních hašovacích unkcí s D-M zesílením Pro zprávu o délce 2 k bloku Složitost k*2 n/2+1 + 2 n-k+1 Pro SA1: zpráva 2 60 bajtu, 2 106 operací, dríve 2 160 operací Zatím nepraktické z duvodu príliš dlouhých zpráv, teoretický prínos vysoký 29 30 5

Ukážeme si ledání kolizí u dlouhých zpráv bez D-M zesílení Nalezení (k, 2 k +k+1)-expandovatelné zprávy, složitost k*2 n/2+1 Nalezení druhého vzoru pomocí expandovatelné zprávy, složitost k*2 n/2+1 + 2 n-k+1 Nalezení (k, 2 k +k+1)-expandovatelné zprávy pomocí pevných bodu, složitost 2 n/2+1 Jouxovy multikolize, složitost k*2 n/2 místo 2 n*(r-1)/r Wangová a kol.: rychleji, více Kelsey-Schneier: také Napríklad z toho plyne Ohromná multikolize: Možnost nalezení N zpráv o délce 2 54 bloku, majících stejnou haš, se složitostí pouze 64*2 n/2, kde n je délka hašovacího kódu a N je neuveritelne velké: N =? 2 54???? 18014398509481984? 31?? 31? Není praktické z duvodu velmi dlouhých kolidujících zpráv 31 32 Dosti významný Záver c.2 n-bitová iterovaná hašovací unkce: poskytuje zásadne jiné bezpecnostní vlastnosti než náhodné orákulum s n-bitovým výstupem nemuže zarucit odolnost proti nalezení druhého vzoru (pro dlouhé zprávy) na úrovni n bitu bezpecnosti, jak se dosud uvažovalo nezarucuje ruzné vlastnosti, pokud útocník má možnost provést rádove 2 n/2 operací 33 6

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář