Obsahuje:
  • všechny e-ziny od 9/1999
  • celou databázi NEWS
  • soutěže 2000-2011
  • další články a BONUSY

Security - News

http://crypto-world.info

Crypto - News | Security - News

09 / 2004
Vybrali pro vás: TR - Tomáš Rosa, JP - Jaroslav Pinkava, PV - Pavel Vondruška, VK - Vlastimil Klíma

Objasn?ní k nep?esnostem v ?lánku v Crypto-worldu k prolomení hašovacích funkcí

16.09.2004
?lánek Hašovací funkce v roce 2004 v Crypto-worldu ?.9/2004 od Jaroslava Pinkavy z PVT se zabývá hašovacími funkcemi. Samoz?ejm?, že hašovacími funkcemi nejvíce zamával ?ínský útok na Rump Session konference Crypto 2004 v srpnu t.r., od n?hož se odvinuly diskuse k hašovacím funkcím a jejich bezpe?nosti a budoucnosti. Práv? tento výsledek je však v ?lánku špatn? interpretován, a to v klí?ové myšlence kolizí MD5 (odstavec 6). P?itom chybná interpretace je opakována na ?ty?ech místech v odstavci 6, takže nejde o p?ehlédnutí. Pokusím se tedy o vysv?tlení. ?ínští výzkumníci p?išli s metodou, jak nalézt kolize dvou r?zných 1024bitových zpráv, a d?lají to tak, že nejprve naleznou dv? r?zné 512bitové p?lzprávy M1, M2, což jim trvá cca hodinu, a potom k nim naleznou dv? r?zné 512bitové p?lzprávy N1, N2 (což trvá už jen sekundy) tak, že složené zprávy (M1, N1) a (M2, N2) mají stejnou haš. Dokonce uvádí p?edpis, jak se první poloviny M1 a M2 t?chto komponovaných zpráv mají lišit a jak se druhé poloviny N1 a N2 mají lišit. Práv? jedním z p?ekvapení útoku bylo že konstanty, o které se první a druhé poloviny liší, jsou k sob? inverzní. Hlavní myšlenkou útoku tedy bylo za prvé najít takovou zvláštní konstantu C, za druhé b?hem první hodniny útoku nalézt zprávu M1 tak, že M1 a M2 = M1+ C vedou p?i hašování na ur?itý r?zný kontext (mezivýsledek hašování) ale tak, že tato diference je srovnána p?i hašování druhých p?lek zpráv N1 a N2. První (r?zné) ?ásti zpráv jaksi tedy p?ihrají sice r?zné kontexty, ale druhé (r?zné) ?ásti zpráv to srovnají na celkový stejný výsledek, hašový kód, tedy kolizi. Aby byla vid?t síla útoku, auto?i to dokumentují navíc tím, že po první (hodinu trvající) fázi, kdy naleznou (M1, M2), jsou k ní schopni nalézt více dvojic (N1 a N2), (N1´, N2´), ... vedoucích ke kolizi, tj. h(M1, N1) = h(M2, N2), h(M1, N1´) = h(M2, N2´). Tedy prokazují, že p?vodní r?zné kontexty dovedou dovést ke stejné haši r?znými cestami.

Autor ?lánku píše, že ... Na základ? výsledku ?ínských matematik? je možné zkonstruovat dv? zprávy, které se v první ?ásti zcela shodují, v druhé se liší a mají p?itom týž hash, což konkretizuje vztahem h(M1, N1) = h(M1, N2).
Toto tvrzení jak je vid?t kontrastuje s ?ínskou myšlenkou o nalezení diferen?ní konstanty C, v níž se první poloviny zpráv liší.

Dále se píše ...V p?íkladu jsou uvedeny zprávy se shodnou první ?ástí, ale nejedná se o n?jakou smysluplnou ?ást, tj. asi skute?n? je výsledkem n?jakých výpo?etních postup?. Pokud by tomu tak nebylo a bylo by z hlediska použité metody nap?. p?ímo volit obsah ?ásti zprávy, praktický dopad by mohl být více nep?íjemný. To je další v?c, kterou je pot?eba poopravit. Pokud by tomu tak bylo.. lze nahradit Skute?n? tomu tak je.. . ?í?ané jsou schopni tento útok provést s libovolnou inicializa?ní hodnotou, jak ukázali i prohlásili. Mohou si tedy zvolit libovolnou smysluplnou zprávu T a poté k ní konstruovat jak jsou zvyklí M1, N1 a M2, N2 tak, že h(T, M1, N1) = h(T, M2, N2). Autor ?íká, že ...pak by bylo možné toho využít tak, že úto?ník získá dokument podepsaný druhou stranou, zm?ní ?ást dokumentu, podpis z?stává týž. , což práv? není pravda, nebo? úto?ník musí ob? kolidující zprávy vytvá?et sám. ?ínský útok neumí nalézt k danému dokumentu jiný, se stejnou haší. Umí pouze najít dva r?zné dokumenty se stejnou haší. Je to p?esn? rozdíl mezi pojmy V3 a V5 ?lánku.

Mnoho z t?chto v?cí bylo vyjasn?no v diskusi na severu root k ?lánku Hašovací funkce MD5 a další prolomeny!.

Pokud originální ?lánek nemáte, m?žete se zdarma k odb?ru e-zinu zaregistrovat na hlavní stránce crypto-worldu a poté si ?íslo 9/2004 stáhnout.

Zdroj: http://www.root.cz/clanek/2368
Autor: VK


<<- novější - Vládou placení hacke?i chrání Ameriku
Certicom - zabezpe?ení mobilní architektury - starší ->>
Design: Webdesign