Na tzv. Rump session konference Crypto 2005, což je neformální velmi stru?ná prezentace r?zných výsledk?, pozvání na jiné konference apod., m?la vystoupit i prof. Wangová. V
p?edchozím p?ísp?vku jsme vás informovali o tom, že neobdržela vízum, takže nemohla vystoupit ani v ?ádném programu ani na rump session. V ?ádném programu m?la prezentovat p?ísp?vek k hledání kolizí u SHA-0 a p?ísp?vek k hledání kolizí u plné SHA-1, viz program konference
zde. Na rump session pak m?lo být oznámeno urychlení útoku na SHA-1, které od doby sepsání p?ísp?vku docílila. P?vodní složitost 2^69 se jí poda?ilo snížit na 2^63. To je už dosažitelné distribuovaným výpo?tem na internetu tak, jak jsme toho byli sv?dky i u jiných kryptoanalytických útok?. Její p?ísp?vek musel na rump session p?ednést Adi Shamir. Urychlení bylo dosaženo jinou volbou diferen?ní cesty (souvisí s tím i
d?ív?jší novinka). Nevylu?uje se, že bude nalezena další, ješt? jednodušší cesta. V každém p?ípad? ale práce na využití kolizí SHA-1 k prezentaci falešného certifikátu už n?jakou dobu probíhají (tým Wangová, Lenstra, Weger). Cht?l bych znovu upozornit certifika?ní autority na tuto skute?nost a aby si alespo? vyškolili tiskové mluv?í, pokud nic jiného.
Zárove? p?ipomínám svoji p?edpov?? z 19.3.2005, že
SHA-1 do roka padne (rozum?j: bude nalezena kolize), viz
Crypto-World 4/2005. Škoda, že jsem se nevsadil, do b?ezna 2006 to v pohod? stihnou.
Jinak už jsou p?ipraveny metody, jak
s využitím sou?asných HW za?ízení nebo SW balík?, které realizují funkce MD5 nebo SHA-1,
zabránit sou?asným kolizním útok?m drobnou vnit?ní zm?nou n?kterých služebních funkcí (zainteresovaní budou v?d?t, co je to SHAInit, SHAUpdate, SHAFinal, MD5Init, MD5Update, MD5Final). U systém?, které nepot?ebují všeobecnou (sv?tovou) kompatibilitu to není velký problém. U ostatních je podmínkou, aby se pro tyto funkce rychle p?ipravil standard a nový identifikátor takto opravené hašovací funkce.
Související odkazy:
Schneier?v blog o neud?lení víz
Schneier?v blog o urychlení útoku na SHA-1