Marc Stevens, Arjen Lenstra a Benne de Weger vypracovali metodu tzv. cílených kolizí MD5. B?žná kolize je, že (k danému, ve standardu pevn? definovanému inicializa?nímu vektoru IV) se najdou dv? r?zné zprávy b1 a b2 (ozna?ení b jako binární) tak, že
MD5(IV,b1) = MD5(IV,b2). Jestli si vzpomenete, v b?eznu t.r. jsem publikoval metodu tunel?, která umož?uje nalézt takové kolize v pr?m?ru za 31 sekund na notebooku, a to pro libovoln? zvolené IV (podrobnosti najdete
zde). Marc Stevens si dal za cíl najít kolizi s libovolnými r?znými IV1 a IV2, tj. pro tato zvolená IV1 a IV2 nalézt dv? r?zné zprávy b1 a b2 tak, že
MD5(IV1,b1) = MD5(IV2,b2). Zdánliv? mali?kost, ale není to pravda. Je za tím kus práce, nebo? se musí najít jiná diferen?ní cesta k takovým kolizím. Za vykonanou práci je pak odm?na
. Kolidující zprávy mohou za?ínat libovoln? r?zn? (doposud mohly za?ínat libovoln? stejn?).. To potom umož?uje zvolit si libovolné r?zné za?átky m1, m2 a dopo?ítat k nim kolidující konce b1, b2 tak, že MD5(IV,m1,b1) = MD5(IV,m2,b2).
Skute?n?, zvolíme-li libovolné r?zné m1 a m2 (libovolné r?zné za?átky t?l certifikát?), dostaneme se po jejich zhašování s použitím standardní hodnoty IV, tj. po zhašování (IV,m1) a (IV,m2) do r?zných stav?, které ozna?íme jako IV1 a IV2. Protože nyní k IV1 a IV2 umíme najít r?zná b1 a b2 tak, že MD5(IV1,b1) = MD5(IV2,b2), máme MD5(IV,m1,b1) = MD5(IV,m2,b2), tj. kolizi pro standardní IV a zprávy (m1,b1) a (m2,b2). Další dva pánové pomohli Marcovi s praktickým využitím t?chto cílených kolizí k tvorb? certifikát? pro r?zné klí?e s jedním (stejným) podpisem certifika?ní autority. Samoz?ejm?, že podpis CA je stejný, vždy? podepisuje MD5 haš od t?la certifikátu, který je p?ipraven ve form? (m1,b1) a (m2,b2). Za?átky zpráv m1 a m2 jsou údaje z certifikát?, které chceme m?nit, nap?íklad jméno, e-mail a sériové ?íslo, zatímco libovolnou ?ást ostatních údaj? m?žeme ponechat stejnou. Konce zpráv (b1,b2) se tvo?í tak, aby zasáhly místo, kde je v certifikátu uložen ve?ejný klí? daného ?lov?ka (modul RSA).
Ve výsledku se dostanou dv? t?la certifikát?, která mají libovolné stejné a libovolné r?zné položky na za?átku t?la certifikátu a r?zný ve?ejný klí? RSA na konci t?la certifikátu a p?itom stejný podpis certifika?ní autority. Umož?uje to p?ipravit si dva klí?e RSA pro dva r?zné lidi a dostat na n? jeden certifikát od certifika?ní autority. To je trochu nebezpe?né... Podrobné informace naleznete na domácí stránce projektu http://www.win.tue.nl/hashclash/TargetCollidingCertificates/.
Autor?m blahop?ejeme!
