Центр информации по операционным системам: Где наша безопасность?!

Криптографы гудят как стая диких ос - похоже, что найдены подходы для взлома некоторых математических функций, до этого считавшихся невскрываемыми!

Все началось в четверг, когда французский исследователь Антуан Джукс (Antoine Joux) нашел брешь в популярнейшем алгоритме создания хэшей - MD5, который часто используется в качестве цифровых подписей. После этого четверо исследователей из Китая опубликовали документ, в котором описали как можно обойти еще один алгоритм - SHA-0.

Несмотря на то, что это предварительные результаты исследований, эти открытия могут значительно упростить злоумышленникам незаметную вставку бэк-доров в код приложений или просто подделать цифровую подпись.

Третье объявление, которое, правда, было уже более ожидаемо, пришлось на вторник на конференцию Crypto 2004.

Эли Бихэм и Рафи Чен (Eli Biham and Rafi Chen), исследователи Израильского Технологического Института (Israel Institute of Technology) были назначены с докладом об атаках на SHA-0, который, как уже было известно, отнюдь не идеален. Однако, на презентации во вторник Бихэм сообщил об успехах в начатой работе над обнаружением уязвимостей в алгоритме SHA-1, в безопасности которого до этого никто не сомневался.

Презентация Бихэма была очень предварительной, но она уже ставит под вопрос будущее широко используемого алгоритма хэширования SHA-1 и должна привлечь исследователей к поиску альтернативы.

На сегодняшний день, считающийся образцом в своем классе алгоритмов, SHA-1 активно используется во многих популярных программах, стандратах и протоколах, таких как PGP и SSL. Он сертифицирован Национальным Институтом Стандартов и Технологий (National Institute of Standards and Technology) и это единственный алгоритм подписи, принятый к использованию в Стандарте Цифровых Подписей (Digital Signature Standard) правительства США. Считавшийся более безопасным SHA-1 выдает на выходе 160-битный хэш, который длиннее 128-битного в MD5.

Алгоритмы MD5, SHA-0 и SHA-1 известны нам как хэш-функции. Они принимают на вход все, что угодно, от e-mail сообщений до ядер операционных систем, а на выходе генерируют нечто, что должно быть уникальным отпечатком. Изменение хотя бы одной буквы во входном сообщений дает совершенно другой отпечаток на выходе.

Приложения полагают, что эти отпечатки уникальны и активно пользуются этим их свойством. Но если взломщику удастся сгенерировать один и тот же отпечаток для разных входных потоков, клонировать отпечаток (это называется коллизией хэшей), то он сможет, например, указать, что ПО с бэк-дором вполне безопасно, а пользователь скачает и поставит его.

Разработчики, конечно, давно знают о том, что ни один применяемый на практике метод шифрования не может быть абсолютно безопасен, и предпринимают попытки создать новые методы, время создания одинаковых отпечатков для которых просто слишком высоко.

SHA-1 и считался безопасным именно потому, что было невозможно преднамеренно сгенерировать коллизию хэшей при использовании существующих техник. Он основан на 80-кратном выполнении одной функции, которая и создает уникальный отпечаток. Бихэм сообщил, что ему удалось подделать отпечаток при 36-кратном выполнений.

Если в SHA-1 будут обнаружены уязвимости, похожие на обнаруженные в SHA-0, то это также будет означать, что попытки сгенерировать одинаковые отпечатки ускорятся в 500 миллионов раз, что, в теории, уже будет доступно для взлома сетью быстрых персональных компьютеров.

Уязвимости в алгоритме MD5 могут иметь еще более неприятные и скорые последствия. Открытый веб-сервер Apache использует MD5-хэши для подтверждения того, что исходные коды на множестве зеркал не изменены и безопасны. Им же пользуется Sun в Solaris Fingerprint Database, которая призвана обеспечивать "подтверждение того, что используется настоящий файл из официального бинарного дистрибутива, а не подмененная версия, которая может скомпрометировать безопасность системы". Также стоит отметить, что именно MD5 используется в очень многих веб-системах и CMS для хранения или передачи паролей.

Бреши в MD5, обнаруженные в последние несколько дней, позволяют атакующему сгенерировать одну коллизию хэшей за несколько часов на стандартном PC. Подготовить специальный бэкдор и внедрить его в приложение с тем же хэшем может оказаться гораздо более сложной задачей.

Тем не менее, специалисты в области компьютерной безопасности рекомендуют программистам избегать использования MD5. "Алгоритм уже показал, что он слаб. Настало время избавляться от его использования, до того как появятся успешные атаки" - сказал Джим Хьюджс (Jim Hughes), главный председатель Crypto 2004.

Обзор категории Темы новостей

Новости поновей

Roman I Khimov в Среда, 18 Август 2004, 13:14 |

Комментарии: 0 |

Наши новости доступны в формате RSS.