Vybrané útoky proti hašovací funkci MD5

Podobné dokumenty
Karel Kohout 18. května 2010

Základní definice Aplikace hašování Kontrukce Známé hašovací funkce. Hašovací funkce. Jonáš Chudý. Úvod do kryptologie

Teoretický základ a přehled kryptografických hashovacích funkcí

Hashovací funkce. Andrew Kozlík KA MFF UK

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-1

Kryptografie - Síla šifer

5. Hašovací funkce, MD5, SHA-x, HMAC. doc. Ing. Róbert Lórencz, CSc.

(Ne)popiratelnost digitálních podpisů. Cíl přednášky. Jazyková vsuvka

Hashovací funkce a SHA 3

Operační mody blokových šifer a hašovací algoritmy. šifer. Bloková šifra. šifer. Útoky na operační modus ECB

vá ro ko Sý ětuše Kv

Digitální podepisování pomocí asymetrické kryptografie

Datové struktury 2: Rozptylovací tabulky

Kryptografie a audit

Moderní metody substitučního šifrování

Diffieho-Hellmanův protokol ustanovení klíče

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,


Markov Chain Monte Carlo. Jan Kracík.

Poslední nenulová číslice faktoriálu

Základy moderní kryptologie - Symetrická kryptografie II.

Kryptoanalýza šifry PRESENT pomocí rekonfigurovatelného hardware COPACOBANA

Kryptografie založená na problému diskrétního logaritmu

MINIMÁLNÍ POŽADAVKY NA KRYPTOGRAFICKÉ ALGORITMY. doporučení v oblasti kryptografických prostředků

Vlastimil Klíma. Seminár Bezpecnost Informacních Systému v praxi, MFF UK Praha,

Bezpečný JPEG Úvod 2. JPEG Vlastnosti JPEG /

Teorie informace: řešené příklady 2014 Tomáš Kroupa

PA159 - Bezpečnostní aspekty

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Vyhledávání. doc. Mgr. Jiří Dvorský, Ph.D. Katedra informatiky Fakulta elektrotechniky a informatiky VŠB TU Ostrava. Prezentace ke dni 21.

Matematika v kryptografii. Doc. Ing. Karel Burda, CSc. FEKT VUT v Brně

SHA-3. Úvod do kryptologie. 29. dubna 2013

DIPLOMOVÁ PRÁCE. Matematické základy Stevensova algoritmu

Stavební bloky kryptografie. Kamil Malinka Fakulta informačních technologií

Evoluční algoritmy. Podmínka zastavení počet iterací kvalita nejlepšího jedince v populaci změna kvality nejlepšího jedince mezi iteracemi

Andrew Kozlík KA MFF UK

Návrh kryptografického zabezpečení systémů hromadného sběru dat

HASHING GENERAL Hashovací (=rozptylovací) funkce

Šifrová ochrana informací věk počítačů KS - 5

Kombinatorika, výpočty

12 Metody snižování barevného prostoru

Informatika Ochrana dat

DNSSEC: implementace a přechod na algoritmus ECDSA

Algoritmizace Dynamické programování. Jiří Vyskočil, Marko Genyg-Berezovskyj 2010

A. Poznámka k lineárním aproximacím kryptografické hašovací funkce BLUE MIDNIGHT WISH

Vyhledávání v textu. doc. Mgr. Jiří Dvorský, Ph.D. Katedra informatiky Fakulta elektrotechniky a informatiky VŠB TU Ostrava

Správa přístupu PS3-2

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

Elegantní algoritmus pro konstrukci sufixových polí

Jednocestné zabezpečení citlivých údajů v databázi

Eliptické křivky a RSA

Databáze I. 5. přednáška. Helena Palovská

Digitální podepisování pomocí asymetrické kryptografie

Faculty of Nuclear Sciences and Physical Engineering Czech Technical University in Prague

SIM karty a bezpečnost v mobilních sítích

Dynamické programování

Časová složitost / Time complexity

M I N I S T E R S T V A V N I T R A

NPRG030 Programování I, 2018/19 1 / :25:37

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

Konstrukce šifer. Andrew Kozlík KA MFF UK

Test prvočíselnosti. Úkol: otestovat dané číslo N, zda je prvočíslem

Složitosti základních operací B + stromu

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Informatika / bezpečnost

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Vyhledávání. doc. Mgr. Jiří Dvorský, Ph.D. Katedra informatiky Fakulta elektrotechniky a informatiky VŠB TU Ostrava. Prezentace ke dni 12.

asymetrická kryptografie

Třetí skupina zadání projektů do předmětu Algoritmy II, letní semestr 2017/2018

B A B A B A B A A B A B B

Přidělování paměti II Mgr. Josef Horálek

Komerční výrobky pro kvantovou kryptografii

Aplikovaná kryptoanalýza. Dr. Tomáš Rosa,

13 Barvy a úpravy rastrového

Algoritmus pro hledání nejkratší cesty orientovaným grafem

DÁLKOVÁ SPRÁVA ŘÍDICÍCH SYSTÉMŮ V PROSTŘEDÍ CONTROL WEB 5

Kerchhoffův princip Utajení šifrovacího algoritmu nesmí sloužit jako opatření nahrazující nebo garantující kvalitu šifrovacího systému

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

Testování prvočíselnosti

Přístroje na měření tlaku SITRANS P Snímače relativního, absolutního a diferenčního tlaku

Testování a spolehlivost. 6. Laboratoř Ostatní spolehlivostní modely

V každém kroku se a + b zmenší o min(a, b), tedy vždy alespoň o 1. Jestliže jsme na začátku dostali 2

Algoritmizace Hashing II. Jiří Vyskočil, Marko Genyg-Berezovskyj 2010

PSK2-5. Kanálové kódování. Chyby

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

Kvantová informatika pro komunikace v budoucnosti

Garantovaná a bezpečná archivace dokumentů. Miroslav Šedivý, Telefónica CZ

B Organizace databáze na fyzické úrovni u serveru Oracle

Kryptologie: Zahrnuje kryptografii a kryptoanalýzu (někdy se také uvádí, že obsahuje steganografii tajnopis).

vnější profesionál vnitřní profesionál organizace opakuje podsouvá

Operační systémy. Jednoduché stránkování. Virtuální paměť. Příklad: jednoduché stránkování. Virtuální paměť se stránkování. Memory Management Unit

1 0 0 u 22 u 23 l 31. l u11

Čísla, reprezentace, zjednodušené výpočty

Katedra informatiky a výpočetní techniky. 10. prosince Ing. Tomáš Zahradnický doc. Ing. Róbert Lórencz, CSc.

Univerzita Karlova v Praze Matematicko-fyzikální fakulta BAKALÁŘSKÁ PRÁCE. Martin Suchan. Porovnání současných a nových hašovacích funkcí

Základy algoritmizace. Hašování

Transkript:

Vybrané útoky proti hašovací funkci MD5 1 Úvod, vymezení V práci popisuji vybrané útoky proti bezpečnosti hašovací funkce MD5. Nejdříve uvádím zjednodušený algoritmus MD5 a následně rozebírám dva praktické útoky. Nerozebírám teoretické předpoklady hašovacích funkcí. 2 Popis MD5 MD5 1 je algoritmus optimalizovaný pro 32 bitové procesory, vychází z MD4 (oproti MD4 je mírně pomalejší). Převádí řetězec libovolné délky na řetězec o délce 128 bitů. V algoritmu proběhne jako první doplnění zprávy a příprava pomocných registrů (čtyři 32bitová slova A, B, C, D) a následně je zpráva podle Merkle-Damgårdova schématu zpracována po blocích o velikosti 512 bitů (pro každý blok 4 kola o 16 krocích, tj. celkem 64 rund). Obrázek 1: Merkle-Damgårdovo schéma (struktura) (zdroj: [3, str. 200]); x i jsou pro MD5 bloky o 512 bitech, H i řetězce o délce 128 bitů a h(x) výsledný hash. Doplnění zprávy probíhá probíhá následovně: nejdříve je připojen jeden bit 1 a poté množství 0 tak, aby délka zprávy byla kongruentní s 448 modulo 512 (k doplnění dochází i v případě, že zpráva již podmínku splňuje). Následně je připojena do posledních 64 bitů délka zprávy (v případě délky větší než 2 64 je použito pouze spodních 64 bitů, neboli délka zprávy mod2 64 ). Počáteční inicializační vektor registry (pevně stanoveny ve standardu): a 0 : 01 23 45 67 b 0 : 89 ab cd ef c 0 : fe dc ba 98 d 0 : 76 54 32 10 Po doplnění proběhne rozdělení zprávy na N po sobě následujících bloků M 1, M 2,..., M N délky 512 bitů. Při samotném zpracování projde v případě zprávy o N blocích algoritmus MD5 N + 1 stavy (mezivýsledky) IHV i, pro 0 i N. Každý mezivýsledek IHV i se skládá ze čtyř 32 bitových slov a i, b i, c i, d i (pro i = 0 viz výše). Mezivýsledky IHV i jsou pro i = 1, 2,...N vypočítány kompresní funkcí MD5 (M D5C) takto: 1 Message-Digest algorithm 5 IHV i = MD5C(IHV i 1, M i ). 1

Výsledný hash je poslední mezivýsledek IHV N, určený jako spojení a N, b N, c N, d N, převedený zpět z malého endianu. 2.1 Kompresní funkce MD5 Vstup do kompresní funkce MD5C(IHV, B) je složený z mezivýsledku IHV = (a, b, c, d) a 512 bitového bloku B. Kompresní funkce obsahuje 64 rund (0..63, rozdělených do 4 kol po 16 krocích. Každá runda t obsahuje modulární operace, rotaci (směrem vlevo), nelineární funkci f t a konstanty AC t, RC t. AC t = 2 32 sin(t + 1), 0 t 64 (7, 12, 17, 22) pro t = 0, 4, 8, 12, (5, 9, 14, 20) pro t = 16, 20, 24, 28, (RC t, RC t+1, RC t+2, RC t+3 ) = (4, 11, 16, 23) pro t = 32, 36, 40, 44, (6, 10, 15, 21) pro t = 48, 52, 56, 60. Nelineární funkce f t závisí na kole: F (X, Y, Z) = (X Y ) (X Z) pro 0 t < 16, G(X, Y, Z) = (Z X) (Z Y ) pro 16 t < 32, f t (X, Y, Z) = H(X, Y, Z) = X Y Z pro 32 t < 48, I(X, Y, Z) = Y (X Z) pro 48 t < 64. Blok B je rozdělen do 16 po sobě následujících 32 bitových slov m 0,..., m 15 a rozšířený na 64 slov W t, pro 0 t 64, každé o 32 bitech: m t pro 0 t < 16, m W t = (1+5t)mod16 pro 16 t < 32, m (5+3t)mod16 pro 32 t < 48, m (7t)mod16 pro 48 t < 64. Pro t = 0, 1,..., 63 uchovává algoritmus kompresní funkce 4 stavová slova Q t, Q t 1, Q t 2, Q t 3. Ta jsou na začátku inicializována jako Q 0, Q 1, Q 2, Q 3 = (b, d, d, a) a pro t = 0, 1,..., 63 jsou postupně upravena následujícím způsobem: F t = f f (Q t, Q t 1, Q t 2 ), T t = F t + Q t 3 + AC t + W t, R t = RL(T t, RC t ), Q t+1 = Q t + R t. Potom po provedení všech výpočtů jsou výsledná stavová slova přidává k mezivýsledku hašovací funkce a vrácena jako výsledek: MD5C(IHV, B) = (a + Q 61, b + Q 64, c + Q 63, d + Q 62 ) Alternativní zápis kompresní funkce (RFC): 2

/* Process each 16-word block. */ For i = 0 to N/16-1 do /* Copy block i into X. */ For j = 0 to 15 do Set X[j] to M[i*16+j]. end /* of loop on j */ /* Save A as AA, B as BB, C as CC, and D as DD. */ AA = A BB = B CC = C DD = D /* Round 1. */ /* Let [abcd k s i] denote the operation a = b + ((a + F(b,c,d) + X[k] + T[i]) <<< s). */ [ABCD 0 7 1] [DABC 1 12 2] [CDAB 2 17 3] [BCDA 3 22 4] [ABCD 4 7 5] [DABC 5 12 6] [CDAB 6 17 7] [BCDA 7 22 8] [ABCD 8 7 9] [DABC 9 12 10] [CDAB 10 17 11] [BCDA 11 22 12] [ABCD 12 7 13] [DABC 13 12 14] [CDAB 14 17 15] [BCDA 15 22 16] /* Round 2. */ /* Let [abcd k s i] denote the operation a = b + ((a + G(b,c,d) + X[k] + T[i]) <<< s). */ [ABCD 1 5 17] [DABC 6 9 18] [CDAB 11 14 19] [BCDA 0 20 20] [ABCD 5 5 21] [DABC 10 9 22] [CDAB 15 14 23] [BCDA 4 20 24] [ABCD 9 5 25] [DABC 14 9 26] [CDAB 3 14 27] [BCDA 8 20 28] [ABCD 13 5 29] [DABC 2 9 30] [CDAB 7 14 31] [BCDA 12 20 32] /* Round 3. */ /* Let [abcd k s t] denote the operation a = b + ((a + H(b,c,d) + X[k] + T[i]) <<< s). */ [ABCD 5 4 33] [DABC 8 11 34] [CDAB 11 16 35] [BCDA 14 23 36] [ABCD 1 4 37] [DABC 4 11 38] [CDAB 7 16 39] [BCDA 10 23 40] [ABCD 13 4 41] [DABC 0 11 42] [CDAB 3 16 43] [BCDA 6 23 44] [ABCD 9 4 45] [DABC 12 11 46] [CDAB 15 16 47] [BCDA 2 23 48] /* Round 4. */ /* Let [abcd k s t] denote the operation a = b + ((a + I(b,c,d) + X[k] + T[i]) <<< s). */ [ABCD 0 6 49] [DABC 7 10 50] [CDAB 14 15 51] [BCDA 5 21 52] [ABCD 12 6 53] [DABC 3 10 54] [CDAB 10 15 55] [BCDA 1 21 56] [ABCD 8 6 57] [DABC 15 10 58] [CDAB 6 15 59] [BCDA 13 21 60] [ABCD 4 6 61] [DABC 11 10 62] [CDAB 2 15 63] [BCDA 9 21 64] /* Then perform the following additions. (That is increment each of the four registers by the value it had before this block was started.) */ A = A + AA B = B + BB C = C + CC D = D + DD end /* of loop on i */ (Zdroj: [9]) 3 Útoky (nejen) proti MD5 3.1 Slovníkový útok Jde o útok, kdy na základě znalosti výsledku hašovací funkce MD5 hledáme jeden z možných původních řetězců; při očekávané malé délce původního řetězce (například méně než 448 bitů) je možné se značnou pravděpodobností předpokládat, že náš nalezený řetězec odpovídá původnímu 3

a nejde o kolizi. Teoretická složitost útoku je 2 64. Typickou úlohou je nalezení původních hesel po získání databáze, ve které je vždy pouze uživatelské jméno a hash. Pro množiny s malým počtem prvků (například sto nejčastěji používaných hesel, řádově do desítek tisíc záznamů) je nejrychlejší slovníkový útok (útok se slovníkem), tj. prohledávání dvojic předem vypočítaných prvků hash původní řetězec. Takové hledání poskytuje výsledky do 2 vteřin. Znaky (slova) Maximální délka Objem dat (GB), odhad 100 000 slov 10 znaků 0.0026 a-z 6 7 a-z, A-Z 6 454 a-z, A-Z, 0-9 6 1281 a-z, A-Z, 0-9 8 5546713 a-z, A-Z, 0-9, 20 speciálních znaků 10 375 711 425 084 Při velkém objemu dat jsou nároky na úložný prostor prohibitivní. 3.2 Rainbow tables Snižuje nároky slovníkového útoku na prostor pomocí ukládání pouze částí výpočtu ze všech možných výsledků hašovací funkce ( time-memory tradeoff ). Původní výpočet: C 0 = S k (P 0 ) kde P je otevřený text, C výsledek hašovací (šifrovací) funkce je možné nahradit po zavedení redukční funkce R, která z haše vytváří nový klíč (mezivýsledek) a při procházení všech možných S ki (P 0) R(C i) klíčů: k i C i k i+1 Označením R(S k (P 0 )) za f(k): k i f ki+1 f ki+1 Problémy postupu: kolize řetězů (začátek jsou různé klíče, klíč nemusí být v tabulce). Některá řešení: více tabulek, používání distinguished points (tj. ukončení řetězu na výsledku, který je vhodným způsobem rozpoznatelný, ne jen po určitém počtu iterací). Slovníkový útok Útok hrubou silou Rainbow table Prostor klíčů 23 109 8 miliard 8 miliard Příprava 1.05 vteřiny 96 hodin (odhad) 20 hodin Rychlost vyhledávání < 1 vteřina Dle algoritmu 2.6 vteřiny (maximum) Objem dat 947 KB 300GB 611 MB 3.3 Hledání kolize V roce byl představen teoretický útok hledání kolize (Wang et al., čínský útok ) přes sledování mezivýsledků IHV i, případně s nalezením dvou zpráv se stejným hašem a začátkem. Nejzajímavější současný úspěch je nalezení kolize MD5 pro dva různé X-509 certifikáty. Útok probíhá následujícím způsobem: jsou vytvořeny dvě zprávy (certifikáty), doplněny tak, aby měly stejný počet 512 bitových bloků (viz Merkle-Damgård); v rámci slabin MD5 2 ) jsou pak doplněny v některých polích (u [6] v RSA modulu) tak, aby měly stejný hash (útok předpokládá, že certifikáty jsou generované v prakticky stejný čas kvůli náhodným polím v certifikátu). Obdobný útok je možné realizovat se dvěma upravitelnými dokumenty (Postscript nebo Word s obrázky), 2 Mimo rozsah této práce 4

Obrázek 2: Rainbow table (vpravo), vlevo klasické tabulky pro t-m (zdroj: [1]). Obrázek 3: Rainbow table (zdroj: [4]). kde je na konci dokumentu v rámci zdánlivě nenápadného prvku (čárový kód, firemní logo) upraveno několik pixelů tak, aby zfalšovaný dokument měl stejný haš jako původní (též útok Nostradamus s předpovědí výsledku voleb). 4 Závěr Hašovací funkce MD5 je prakticky (nejen teoreticky) zranitelná pro většinu svých použití a měla by být nahrazena jinou, standardní a ověřenou funkcí (rodina SHA-2, budoucí SHA-3). 5

Zdroje]plain Poznámka: všechny odkazy byly mezi 16.5.2010 a 18.5.2010 funkční (vzhledem k délce psaní práce neuvádím data u každého odkazu zvlášť). Platí i pro odkazy v textu. Reference [1] Black, J., Cochran, M, A study of the md5 attacks: Insights and improvements http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.88.8007&rep= rep1&type=pdf [2] Menezes, Alfred J., Oorschot, Paul C. van, Vanstone, Scott A.: Handbook of applied cryptography, CRC Press, 1996, ISBN 9780849385230 [3] Stinson, Douglas: Cryptography - Theory and practice, CRC Press, 1995, ISBN: 0849385210 [4] Wikipedia, Rainbow table diagram http://en.wikipedia.org/wiki/file:rainbow_table1.svg [5] Stevens, M., Lenstra, A., Weger, B. de, Chosen-pre[U+FB01]x Collisions for MD5 and Applications homepages.cwi.nl/~stevens/papers/stjoc-sldw.pdf [6] Stevens, M., Lenstra, A., Weger, B. de, Chosen-prefix Collisions for MD5 andcolliding X.509 Certi[U+FB01]cates for Di[U+FB00]erent Identities http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.140.3579&rep= rep1&type=pdf [7] Stevens, M. On Collisions for MD5 (Master s thesis) http://www.win.tue.nl/hashclash/on%20collisions%20for%20md5%20-%20m.m.j. %20Stevens.pdf [8] Wang, X., Yu, H. How to Break MD5 and Other Hash Functions http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.102.6718&rep= rep1&type=pdf [9] The MD5 Message-Digest Algorithm, RFC 1321 http://www.ietf.org/rfc/rfc1321.txt 6

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář