SHA-1 złamany!
Algorytm haszujący SHA-1 (Secure Hash Algorithm) stworzony w 1994 roku przez National Institute of Standards and Technology był do tej pory uważany za bezpieczny pod względem kryptograficznym. Znajduje zastosowanie, między innymi, w procesie generowania i weryfikacji podpisu cyfrowego. Jest szeroko stosowany w rozwiązaniach oferowanych przez firmy takie jak Unizeto lub Signet.
Jak poinformował Bruce Schneier, światowej sławy kryptolog i ekspert od bezpieczeństwa IT, grupa naukowców – Xiaoyun Wang, Yiqun Lisa Yin oraz Hongbo Yu z Shandong University in China jednego z najstarszych i najbardziej prestiżowych uniwersytetów w Chinach opublikowała wyniki swoich prac nad SHA-1. Wstępne wyniki zapowiadają się dość interesująco.
kolizja w pełnym SHA-1 w 2^69 hash operacjach, to dużo mniej niż atak typu brute-force z 2^80 operacjami na podstawie długości hash;
kolizja w SHA-0 w 2^39 operacjach;
kolizja w 58-o rundowym SHA-1 w 2**33 operacjach;
SHA-1 udało się złamać stosując podobną technikę jak w przypadku łamania SHA-0. Wykorzystanie funkcji haszujących dla podpisu elektronicznego stoi obecnie pod wielkim znakiem zapytania, nie dotyczy to jednak aplikacji takich jak HMAC gdzie kolizje są nieistotne.
Cała sprawa jest rozwojowa, trudno na obecną chwilę jednoznacznie stwierdzić bezużyteczność SHA-1 gdyż szczegółowa dokumentacja nie została jeszcze opublikowana. Warto dodać, że druga najpopularniejsza funkcja skrótu MD5 została złamana 17 sierpnia 2004 roku przez tą samą grupę naukowców.
Funkcje skrótu są kryptograficznym mechanizmem pozwalającym stronom sprawdzić spójność danych, które były transmitowane lub były przechowywane przez pewien okres czasu. Funkcja skrótu jest funkcją, która na podstawie wiadomości oblicza unikatowy identyfikator. Taki identyfikator nie może być powtórzony w przypadku kiedy podajemy inną wiadomość. Jeśli intruz jest w posiadaniu algorytmu i identyfikatora, to nie może wyliczyć źródłowej wiadomości. Jednym słowem, algorytm jest jednokierunkowy. Przykładowym algorytmem jest SHA (Secure Hash Algorithm) i MD5.
Bruce Schneier jest wynalazcą szyfrów Blowfish i Twofish, szefem firmy Counterpane zajmującej się zarządzaniem bezpieczeństwem oraz współautorem książki „Kryptografia w praktyce”.
Książki o kryptografii:
Sekrety kryptografii
Kryptografia w praktyce
Zobacz również:
Używanie popularnego algorytmu SHA-1 nie jest już bezpieczne
SHA-1 na emeryturę
Złamano (ECC)2-109
Matematycy złamali RSA-576
Łamanie szyfru RC5-72 – minął rok
Algorytm szyfrowania w Płatniku złamany
109-bitowe szyfrowanie złamane
Przełom w szyfrowaniu
64-bitowe szyfrowanie złamane po 4 latach
Algorytm szyfrowania AES jako standard do produktów IPSec
Optimus producentem i dystrybutorem urządzenia szyfrującego IPSec
Intel szyfruje
Szyfr UOP’u
Specyfikacja szyfru Camelia
Moduł szyfrowania dysku dla Linuxa
Nowy system szyfrujący