Quelques RFCs
D'autres RFCs
Publicité
RFC 4270 Übersetzung in Deutsch. |
 |
 |
 |
 |
 |
 |
Network Working Group S. Hoffman
Request for Comments: 4270 VPN-Konsortium
Kategorie: Informationelle B. Schneier
Counterpane Internet Security
November 2005
Angriffe auf kryptographische Hashwerte in Internet-Protokolle
Status dieses Memo
Dieser Vermerk liefert Informationen für die Internet-Gemeinde. Es tut
nicht angeben, ein Internet-Standard von allen Seiten betrachten. Verteilung dieser
Memo ist unbegrenzt.
Copyright Notice
Copyright (C) der Internet Society (2005).
Abstract
Die jüngsten Ankündigungen von besser als erwarteten Kollision Anschläge in
Hash-Algorithmen populäre verursacht haben einige Leute auf die Frage, ob
Common Internet-Protokolle geändert werden müssen, und wenn ja, wie. Dies
Dokument fasst die Verwendung von Hashes in vielen Protokollen, bespricht
Kollision, wie die Anschläge beeinflussen und haben keinen Einfluss auf die Protokolle,
zeigt, wie durchkreuzen bekannte Angriffe auf digitalen Zertifikaten, und
erörtert künftige Richtungen für die Protokoll-Designer.
1. Einleitung
Im Sommer 2004 hat ein Team von Wissenschaftlern hat gezeigt, konkrete Beweise dafür, dass
die MD5-Hash-Algorithmus wurde anfällig für Angriffe Kollision
[MD5-Attacke]. Im Frühjahr 2005, das gleiche Team gezeigt, eine ähnliche
Angriff auf eine Variante des SHA-1 [RFC3174] Hash-Algorithmus, mit einem
Vorhersage, dass die normalerweise verwendet SHA-1 wäre auch empfänglicher
mit einer großen Menge an Arbeit (aber auf ein Niveau unter dem, was sollte
erforderlich, wenn SHA-1 arbeitet korrekt) [SHA-1-Angriff]. Auch im frühen
2005, Forscher zeigten eine spezifische Konstruktion der PKIX-Zertifikate
[RFC3280], dass die Verwendung MD5 für die Unterzeichnung [PKIX-MD5-Bau], und
ein weiterer Forscher zeigten eine schnellere Methode zum Finden von MD5-Kollisionen
(acht Stunden auf einer 1,6-GHz-PC) [MD5-schneller].
Aufgrund dieser Ankündigungen gab es ein hohes Maß an
Diskussion von Kryptographie-Experten, Protokoll-Designer und andere
besorgt über das, was Menschen, wenn überhaupt, sollte getan werden, basierend auf der
Hoffman & Informativ Schneier [Seite 1]
RFC 4270 Angriffe auf Hashes November 2005
Nachrichten. Leider sind einige dieser Gespräche wurden auf der Grundlage
falsche Interpretationen der beiden die Neuerungen und darüber, wie Hash-Algorithmen
werden in gemeinsamen Internet-Protokolle.
Hash-Algorithmen werden von Kryptographen in einer Vielzahl von Sicherheits -
Protokolle für eine Vielzahl von Zwecken, auf allen Ebenen des Internet
Protokoll-Stack. Sie werden verwendet, weil sie über zwei Sicherheitslücken
Eigenschaften: nach dem Weg und ein Zusammenstoß kostenlos. (Es geht eher darum,
diese Eigenschaften im nächsten Abschnitt, sie sind leichter zu erklären
Begriffe von ihnen brechen.) Die jüngsten Anschläge haben gezeigt, dass
einer dieser Eigenschaften Sicherheit ist nicht wahr. Es ist zwar gewiss
möglich ist, und auf den ersten Blick sogar wahrscheinlich, dass die gebrochenen
Sicherheit Eigenschaft hat keine Auswirkungen auf die allgemeine Sicherheit von vielen
spezifische Internet-Protokolle, die Sicherheit konservativen Ansatz besteht darin,
Hash-Algorithmen ändern. Das Internet-Protokoll Gemeinschaft muss
Migration in einer geordneten Art und Weise weg von SHA-1 und MD5 - vor allem
MD5 - und mehr in Richtung Secure Hash-Algorithmen.
Dieses Dokument fasst zusammen, was derzeit bekannt über Hash
Algorithmen und die Internet-Protokolle, die sie benutzen. Es gibt auch
Tipps zur Vermeidung von der derzeit bekannten Probleme mit MD5 und
SHA-1, und was zu beachten, wenn prognostizierte reale Attacken geworden.
Eine hochrangige Zusammenfassung der derzeitigen Situation ist:
o Beide MD5 und SHA-1 neu gefunden haben Angriffe gegen sie, die
Angriffe auf MD5 wesentlich strenger als die Angriffe
gegen SHA-1.
o Die Angriffe auf MD5 sind praktisch in jedem modernen Computer.
o Die Angriffe auf SHA-1 nicht durchführbar sind mit heutigen Computern,
aber sie wird erst, wenn die Angriffe werden verbessert oder Moore's Law weiter
um Rechenleistung billiger.
o Viele gängige Internet-Protokolle verwenden Hashes in einer Art und Weise, die
unberührt von diesen Attacken.
o Die meisten der betroffenen Protokolle verwenden digitale Signaturen.
o Bessere Hash-Algorithmen verringert sich die Anfälligkeit dieser
Angriffe auf ein akzeptables Niveau für alle Benutzer.
2. Hash-Algorithmen und Angriffe auf sie
Eine "perfekte" Hash-Algorithmus hat ein paar grundlegende Eigenschaften. Der Algorithmus
wandelt ein Stück von Daten (in der Regel eine Nachricht) jeder Größe in eine
fester Größe. Die Länge des Ergebnisses wird als "Hash -
Hoffman & Informativ Schneier [Seite 2]
RFC 4270 Angriffe auf Hashes November 2005
length "und wird oft bezeichnet als" L "; das Ergebnis der Anwendung der Hash
Algorithmus auf einem bestimmten Teil der Daten wird als "Hash-Wert"
für diese Daten. Alle zwei verschiedene Nachrichten beliebiger Größe, sollte über einen
äußerst geringen Wahrscheinlichkeit, dass der gleiche Hash-Wert,
unabhängig davon, wie ähnlich oder unterschiedlich sind die Nachrichten.
Diese Beschreibung führt zu zwei mathematischen Ergebnisse. Finden sie ein Paar
Nachrichten von M1 und M2, die den gleichen Hash-Wert dauert 2 ^ (L / 2)
Versuche. Für eine vernünftige Hash-Länge, ist dies eine unmögliche
Problem zu lösen (Kollision kostenlos). Auch, da eine Nachricht M1, finden
jede andere Nachricht, dass M2 hat die gleiche Hash-Wert als M1 dauert 2 ^ L
Versuche. Dies ist ein Problem noch schwieriger zu lösen (one way).
Beachten Sie, dass dies ist die Beschreibung einer perfekten Hash-Algorithmus, wenn die
Algorithmus ist weniger als perfekt ist, kann ein Angreifer aufwenden weniger als die
voller Höhe zu finden, zwei Nachrichten mit dem gleichen Hash-Wert.
Es gibt zwei Arten von Angriffen.
Angriffe auf die "Kollision-free"-Immobilie:
o Ein "Zusammenstoß Angriff" erlaubt es einem Angreifer zu finden zwei Nachrichten M1
und M2, die den gleichen Hash-Wert in weniger als 2 ^ (L / 2)
Versuche.
Angriffe gegen den "one-way"-Immobilie:
o Ein "first-Preimage-Angriff" erlaubt es einem Angreifer, weiß ein gewünschtes
Hash-Wert zu finden, eine Nachricht, dass die Ergebnisse in diesem Wert in weniger
als 2 ^ L versucht.
o Ein "Second-Preimage-Angriff" erlaubt es einem Angreifer, hat ein gewünschtes
M1 Nachricht zu finden, eine andere Nachricht, dass M2 hat die gleiche Hash-Wert
in weniger als 2 ^ L versucht.
Die beiden preimage Angriffe sind sehr ähnlich. In einem ersten-preimage
Angriff, wissen Sie, einen Hash-Wert, aber nicht die Nachricht, dass sie erstellt wurden,
und Sie entdecken wollen jede Nachricht mit dem Hash-Wert bekannt, in
die zweite-Preimage-Angriff, haben Sie eine Nachricht und Sie finden wollen ein
zweite Botschaft, dass hat den gleichen Hash. Die Attacken finden, dass ein
Art der preimage können oft fest, der andere als gut.
Bei der Analyse der Verwendung von Hash-Algorithmen in Protokollen, ist es
wichtig zu unterscheiden, welche der beiden Eigenschaften sind Hashes
wichtig, besonders jetzt, da die Kollision-freies Eigentum ist
immer schwächer zu derzeit populären Hash-Algorithmen. Es ist
sicherlich wichtig, um festzustellen, welche Parteien wählen Sie das Material
Hashwert wird. Darüber hinaus ist, wie gezeigt, durch die einige der frühen Arbeiten,
Hoffman & Informativ Schneier [Seite 3]
RFC 4270 Angriffe auf Hashes November 2005
Besonders [PKIX-MD5-Bau], ist es auch wichtig,
prüfen, welche Partei kann vorhersagen, das Material zu Beginn des
Hash-Objekt.
2,1. Bisher bekannte Angriffe
Alle derzeit bekannten praktischen oder fast-praktische Angriffe auf MD5
und SHA-1 sind Kollision Attacken. Dies ist das Glück: signifikante
First-und Second-preimage Angriffe auf einen Hash-Algorithmus wäre viel
mehr verheerenden in der realen Welt als Zusammenstoß Angriffe, wie
beschrieben, später in diesem Dokument.
Es ist auch wichtig zu beachten, dass die derzeitige Kollision Angriffe
erfordern mindestens einer der beiden Nachrichten an eine faire Betrag von
Struktur in die Bits der Nachricht. Dies bedeutet, dass die Suche nach zwei
Nachrichten, dass beide haben das gleiche Hash-Wert * und * sind nützlich, in einem
Real-World-Attacke ist mehr als nur schwer zu finden zwei Nachrichten
mit dem gleichen Hash-Wert.
3. Wie Internet-Protokolle verwenden Hash-Algorithmen
Hash-Algorithmen werden in vielerlei Hinsicht auf das Internet. Äußerst
Protokolle, die Hash-Algorithmen tun dies in einer Weise, dass sie
immun gegen Schäden durch Kollision Attacken. Dies ist nicht zufällig: gut
Protokoll Designer entwickeln ihre Protokolle, um so viele
zukünftige Änderungen bei den zugrunde liegenden Kryptographie wie möglich, einschließlich
Angriffe auf die kryptographischen Algorithmen.
Verwendet für Hash-Algorithmen sind:
o Non-repudiable digitale Signaturen auf Nachrichten. Nicht-Zurückweisung ist
ein Wertpapier-Service, bietet Schutz gegen falsche Denial -
der Beteiligung in einer Mitteilung. S / MIME und OpenPGP-Mail ermöglichen
Absender zu unterzeichnen den Inhalt einer Botschaft, die sie schaffen, und die
Empfänger der Nachricht kann überprüfen, ob die Unterschrift
ist tatsächlich im Zusammenhang mit der Nachricht. Eine Nachricht wird zur
Nicht-Zurückweisung, wenn die Nachricht signiert ist und der Empfänger der
Nachricht kann die spätere Verwendung der Unterschrift zu beweisen, dass der Unterzeichner
Tatsächlich hat die Nachricht.
o Digitale Signaturen in Zertifikaten von vertrauenswürdigen Dritten.
Das ist zwar ähnlich wie "digitale Signaturen auf Nachrichten",
Zertifikate selbst werden in vielen anderen Protokollen für
Authentifizierung und Key Management.
o Challenge-Response-Protokollen. Diese Protokolle kombinieren eine öffentliche
große Zufallszahl mit einem Wert um den Wert ausblenden, wenn sie
nicht über unverschlüsselte Kanäle.
Hoffman & Informativ Schneier [Seite 4]
RFC 4270 Angriffe auf Hashes November 2005
o Message-Authentifizierung mit gemeinsamen Geheimnissen zu erforschen. Diese sind vergleichbar mit
Challenge-Response-Protokollen, außer, dass anstelle der Verwendung von öffentlichen
Werte, wird die Nachricht in Verbindung mit einem gemeinsamen Geheimnis vor
Hashing.
o Key Ableitung Funktionen. Diese Funktionen machen wiederholte Verwendung von
Hash-Algorithmen zu mischen Daten in eine beliebige Zeichenfolge für den Einsatz in einem oder
mehr Schlüssel für eine kryptographische Protokoll.
o Mixing Funktionen. Diese Funktionen machen wiederholte Verwendung von Hash
Algorithmen zu mischen Daten in zufälligen Zeichenfolgen, zu anderen Zwecken als
kryptographischen Schlüsseln.
o Integrität geschützt werden. Es ist zu vergleichen einen Hash-Wert,
empfangen wird Out-of-Band für eine Datei mit dem Hash-Wert der Datei
nachdem sie empfangen wird über einen ungesicherten Protokoll wie FTP.
Von den oben genannten Methoden, nur die ersten beiden Beeinträchtigung durch Kollision
Attacken, und auch dann nur unter bestimmten Bedingungen erlauben. Bisher ist es
glaubten, dass im Allgemeinen, Challenge-Response-Protokolle sind nicht
anfällig, weil die Absender Authentifizierung ist bereits ein Geheimnis
gespeichert durch den Empfänger. In Nachricht Authentifizierung mit geteilten
Geheimnisse, die Tatsache, dass das Geheimnis ist bekannt, dass beide Parteien ist auch
glaubten, dass sie keine vernünftigen Angriff. Alle wesentlichen Ableitung
Funktionen in IETF-Protokolle nehmen zufälliger Eingabe von beiden Parteien, also
der Angreifer hat keine Möglichkeit der Strukturierung der Hash-Nachricht.
4. Hash-Kollision Angriffe und Anerkennung der digitalen Signaturen
Die Grundidee hinter der Kollision Angriff auf einen Hash-Algorithmus verwendet
in einer digitalen Signatur-Protokoll ist, dass der Angreifer erstellt zwei
Nachrichten, die den gleichen Hash-Wert, Ursachen einer von ihnen zu sein
unterzeichnet, und dann verwendet, dass über die Unterzeichnung andere Nachricht für einige
aggressivsten Zweck. Die Besonderheiten des Angriffs hängt davon ab, die
Protokoll verwendet wird und was das Opfer tut, wenn mit dem
signierten Nachricht.
Das kanonische Beispiel ist, wo Sie zwei Meldungen, von denen einer
sagt: "Ich zahle $ 10 für diesen Job tun" und den anderen von der sagt
"Ich bezahle $ 10.000 für diesen Job tun". Sie präsentieren die erste
Botschaft an die Opfer, sie, es zu unterzeichnen, den Job, Ersatz
die zweite Nachricht in die unterzeichnete Vollmacht, die verändert
signierten Nachricht (dessen Unterzeichnung noch überprüft), und die Nachfrage
höheren Geldbetrag. Wenn das Opfer sich weigert, nehmen Sie sie
Gericht und zeigen den zweiten signierten Nachricht.
Hoffman & Schneier Informational [Page 5]
RFC 4270 Angriffe auf Hashes November 2005
Die meisten Nicht-Zurückweisung Angriffe auf eine menschliche Beurteilung der Gültigkeit
der vermeintlich signierten Nachricht. Im Falle der Hash-Kollisionen
Angriff, das angeblich signierten Nachricht Unterschrift gültig ist, aber so
ist die Unterschrift auf dem Original-Nachricht. Das Opfer kann die
Original-Nachricht, zeigen, dass er / sie unterzeichnet haben, und zeigen, dass die beiden
Hash-Werte identisch sind. Die Chance, dies geschieht durch Unfall
ist ein auf 2 ^ L, das ist infinitesimal kleinen entweder für MD5 oder
SHA-1.
Mit anderen Worten, zu vereiteln einen Hash-Kollisionen Anschlag in einem nicht -
Verstoßung-Protokoll, wo ein Mensch ist mit einem signierten Nachricht als
Autorisierung, die Unterzeichner muss eine Kopie des Originals
Nachricht er / sie unterzeichnet. Nachrichten, die anderen Nachrichten mit der
gleiche Hash geschaffen werden muss durch die gleiche Person ist, und nicht geschehen durch
Unfall unter keinen Umständen wahrscheinlich bekannt. Die Tatsache, dass die
zwei Nachrichten haben die gleiche Hash-Wert sollte Anlass genug, im Zweifel
den Geist der Person zu urteilen die Gültigkeit der Signatur zu verursachen
die rechtlichen Angriff zum Scheitern verurteilt (und möglicherweise bringen vorsätzliche Betrug
Anklage gegen die Angreifer).
Unterbindung Hash-Kollisionen Anschläge in automatisierten Nicht-Zurückweisung
Protokolle ist möglicherweise schwieriger, denn es kann keine
Menschen zahlen genug Aufmerksamkeit zu können argumentieren, was sollte
geschehen. Zum Beispiel in Electronic Data Interchange (EDI)
Anwendungen, Aktionen sind in der Regel automatisch nach
Authentifizierung einer signierten Nachricht. Die Bestimmung der praktischen
Auswirkungen von Hash-Kollisionen würde eine detaillierte Auswertung der
Protokoll.
5. Hash-Kollision Angriffe und digitale Zertifikate aus vertrauenswürdigen dritten
Parteien
Digitale Zertifikate sind ein Sonderfall der digitalen Signaturen. In
Generell gibt es keine Nicht-Abstreitbarkeit Angriff auf vertrauenswürdige Dritte
aufgrund der Tatsache, dass Zertifikate haben spezielle Formatierung. Digital
Zertifikate werden häufig in Internet-Protokolle für die Schlüssel-Management
und zur Authentifizierung von einer Partei, mit denen Sie kommunizieren,
möglicherweise, bevor ein Zugriff auf Netzdienste oder die vertrauensvolle
Party mit privaten Daten wie Kreditkarten-Informationen.
Es ist daher wichtig, dass die Gewährung Partei vertrauen können, dass die
Zertifikat korrekt identifiziert die Person oder das System durch
das Zertifikat. Wenn der Angreifer kann ein Zertifikat für zwei
verschiedenen Identitäten mit nur einem öffentlichen Schlüssel, das Opfer kann
getäuscht zu glauben, dass eine Person ist jemand anderes.
Hoffman & Informativ Schneier [Seite 6]
RFC 4270 Angriffe auf Hashes November 2005
Die Kollision Angriff auf PKIX-Zertifikate in den frühen 2005
sich auf die Fähigkeit des Angreifers zu schaffen, zwei verschiedene öffentliche
Schlüssel, würde dazu führen, dass der Körper des Zertifikats im Besitz des gleichen
Hash-Wert. Für diesen Angriff auf Arbeit, der Angreifer muss in der Lage
zur Vorhersage der Inhalt und die Struktur des Zertifikats, bevor es
ausgestellt, darunter die Identität, die verwendet werden, die Seriennummer
das wird in der Bescheinigung und die Start-und Stopp -
Termine der Gültigkeitszeitraum für das Zertifikat.
Die tatsächliche Folge dieser Attacke ist, dass eine Person mit einem einzigen
Identität kann sich ein digitales Zertifikat über einen öffentlichen Schlüssel, sondern werden
können so tun, als ob es über einen anderen öffentlichen Schlüssel (aber mit der
gleiche Identität, Gültigkeit, und so weiter). Da die Identität in der
zwei Zertifikate ist die gleiche, es gibt wahrscheinlich keinen realen Welt
Beispiele, in denen ein solcher Angriff würde sich der Angreifer keinen Vorteil.
Am besten, man könnte behaupten, dass die vertrauenswürdige dritte Partei einen
Fehler durch die Ausstellung eines Zertifikats mit dem gleichen Identität und serielle
Zahl stützt sich auf zwei verschiedene öffentliche Schlüssel enthalten. Dies ist in der Tat
weit hergeholt.
Es ist sehr wichtig, darauf hinzuweisen, dass die Kollision nur Angriffe auf die
Teile von Zeugnissen, die nicht lesbare Informationen in
sie, wie der öffentliche Schlüssel enthalten. Ein Angriff, bei der sich ein
Zertifikat mit einem von Menschen lesbaren Identität und das
Zertifikat nützlich für eine zweite lesbare Identität erfordern würde
mehr Aufwand als eine einfache Kollision Angriff.
5,1. Die Verringerung der Wahrscheinlichkeit eines Hash-basierte Angriffe auf PKIX-Zertifikate
Wenn eine vertrauenswürdige dritte Partei, Fragen PKIX-Zertifikate will vermeiden
Angriff der oben beschriebenen, können sie verhindern, dass der Angriff durch
andere Teile unterzeichnet des Zertifikats zufällig genug, um jegliche
Vorteil erlangt durch den Angriff. Ideen wurden vorgeschlagen
gehören:
o Making Teil der Bescheinigung Seriennummer auf der unberechenbaren
Angreifer
o Hinzufügen eines zufällig gewählten Komponente der Identität
o Making Gültigkeit der Daten unberechenbar an den Angreifer von Schiefstellung
jeweils nach vorne oder nach hinten
Jede dieser Mechanismen würde die Menge an Arbeit, die
Angreifer Bedürfnisse zu tun, um Trick der Emittent des Zertifikats in
Erzeugen eines Zertifikats, das anfällig für den Angriff.
Hoffman & Informativ Schneier [Seite 7]
RFC 4270 Angriffe auf Hashes November 2005
6. Zukünftige Anschläge und ihre Auswirkungen
Es gibt eine Unstimmigkeit in der Sicherheits-Community, was zu tun
jetzt. Auch die beiden Autoren des Dokuments nicht einverstanden, was zu tun ist
jetzt.
Einer von uns (Bruce) ist der Auffassung, dass jeder sollte zu Beginn der Migration
SHA-256 [SHA-256] nun, aufgrund der Schwächen, die bereits
gezeigt, in beiden MD5 und SHA-1. Es gibt ein altes Sprichwort im Inneren
der US National Security Agency (NSA): "Die Attacken immer besser;
sie nie schlechter. "Die aktuelle Kollision Angriffe auf MD5 sind
einfach auf einem einzelnen Computer, die Kollision Angriffe auf SHA-1
sind bei weitem die Kante der Machbarkeit heute, aber nur verbessern, mit
Zeit. Es ist besser, zu migrieren, um die neuen Hash-Standard vor
gibt es eine Panik, anstatt nach. Genauso wie wir alle wanderten aus
SHA-0 auf SHA-1 basiert auf einige unbekannte Sicherheitslücke entdeckt innen
der NSA, brauchen wir die Migration von SHA-1 auf SHA-256 auf der Grundlage dieser meisten
jüngsten Angriffe. SHA-256 verfügt über eine 256-Bit Hash-Länge. Diese Länge wird
geben Sie uns eine viel größere Sicherheitsmarge im Falle der neu
Angriffe entdeckt. Inzwischen sind weitere Forschungsarbeiten innerhalb der
kryptographische Gemeinschaft in den nächsten Jahren zeigen soll
weitere Verbesserungen in Hash Algorithm Design, und möglicherweise ein
noch sicherer Hash-Algorithmus.
Die anderen von uns (Paul) ist der Auffassung, dass dies nicht klug für zwei
Gründe. Erstens ist die Kollision Angriffe auf aktuelle Protokolle sind nicht
erwiesen haben alle erkennbaren realen Welt Auswirkungen. Darüber hinaus
ist noch nicht klar, welche stärkere Hash-Algorithmus wird eine gute Wahl
auf lange Sicht. Der Umzug von einem Algorithmus auf eine andere führt zu
unvermeidlichen Mangel an Interoperabilität und Verwirrung für typische Krypto
Benutzer. (Natürlich, wenn eine praktische Angriffe formuliert werden, bevor
Gemeinde gibt es Konsens über die Eigenschaften der Chiffre-basierten
Hash-Algorithmen, Paul ändern würde seiner Meinung nach "Move to SHA-256
jetzt ".)
Beide Autoren stimmen darin überein, dass Arbeit sollte getan werden, damit alle Internet -
Protokolle verwenden können verschiedene Hash-Algorithmen mit längeren Hash
Werte. Glücklicherweise sind die meisten Protokolle bereits heute in der Lage sind,
; diejenigen, die nicht festgelegt werden sollte bald.
Die Autoren dieses Dokuments fühlen ähnlich für neue Protokolle werden
entwickelt: Bruce meint, sie sollten beginnen mit SHA-256 aus dem
beginnen, und Paul denkt, dass sie verwenden sollten SHA-1, solange die neue
Protokolle sind nicht anfällig für Angriffe Kollision. Jede neue Protokoll
müssen die Fähigkeit zur Veränderung aller seiner kryptographischen Algorithmen,
nicht nur seinen Hash-Algorithmus.
Hoffman & Informativ Schneier [Seite 8]
RFC 4270 Angriffe auf Hashes November 2005
7. Security Considerations
Das gesamte Dokument beschreibt, Sicherheit im Internet.
Die Diskussion in diesem Dokument geht davon aus, dass nur die Angriffe auf Hash -
Algorithmen, die in Internet-Protokolle sind Kollision Attacken. Einige
signifikanten preimaging Angriffe wurden bereits entdeckt
[Preimaging-Attacke], aber sie sind noch nicht praktikabel. Wenn ein praktisches
preimaging Angriff entdeckt wird, wäre es drastisch auf viele
Internet-Protokolle. In diesem Fall, "praktische" bedeutet, dass es könnte
ausgeführt von einem Angreifer in einen sinnvollen Höhe der Zeit für eine
sinnvolle Geldbetrag. Ein Angriff preimaging, dass die Kosten Billionen
Dollar und nimmt seit Jahrzehnten zu preimage ein gewünschten Hash-Wert oder
Eine Botschaft ist nicht praktikabel; ein, dass die Kosten ein paar Tausend Dollar
und nimmt ein paar Wochen könnte sehr praktisch.
8. Informative Referenzen
[MD5-Attacke] X. Wang, D. Feng, X. Lai, und H. Yu,
"Kollisionen zu Hash-Funktionen MD4, MD5,
HAVAL-128 und RIPEMD ", August 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-schneller] Vlastimil Klima, "Finding MD5 Kollisionen --
Spielzeug für ein Notebook ", März 2005,
<http://cryptography.hyperlink.cz/
md5/MD5_collisions.pdf>.
[PKIX-MD5-Bau] Arjen Lenstra und Benne de Weger, "Auf der
Möglichkeit des Baus sinnvolle Hash
Kollisionen für öffentliche Schlüssel ", Februar 2005,
<http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / DDL-final.pdf>.
[Preimaging-Attacke] John Kelsey und Bruce Schneier, "Second
Preimages auf n-Bit-Hash-Funktionen für viel
Weniger als 2 ^ n Arbeit ", November 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. und P. Jones, "US Secure Hash
Algorithm 1 (SHA1) ", RFC 3174,
September 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., und D. Solo,
"Internet X.509 Public Key Infrastructure
Certificate und Certificate Revocation List
(CRL) Profile ", RFC 3280, April 2002.
Hoffman & Informativ Schneier [Seite 9]
RFC 4270 Angriffe auf Hashes November 2005
[SHA-1-Angriff] Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu,
"Collision Suche Angriffe auf SHA1",
Februar 2005
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal Information Processing
Standards Publication (FIPS PUB) 180-2,
Secure Hash Standard ", August 2002.
Hoffman & Informativ Schneier [Seite 10]
RFC 4270 Angriffe auf Hashes November 2005
Anhang A. Danksagungen
Die Autoren danken den IETF-Gemeinde, insbesondere
die aktive SAAG auf der Mailing-Liste, für ihre Beiträge. Wir würden
Außerdem danke Eric Rescorla zu früh Material, das ging in
die erste Version, und Arjen Lenstra und Benne de Weger für
signifikanten Bemerkungen zu der ersten Version dieses Dokuments.
Authors' Adressen
Paul Hoffman
VPN-Konsortium
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Informativ Schneier [Seite 11]
RFC 4270 Angriffe auf Hashes November 2005
Full Copyright Statement
Copyright (C) der Internet Society (2005).
Dieses Dokument ist vorbehaltlich der Rechte, Lizenzen und Beschränkungen
in BCP 78, und mit Ausnahme der darin festgelegten, die Autoren
behalten alle ihre Rechte.
Dieses Dokument und die hierin enthaltenen Informationen sind, auf einem
"WIE IST"-Basis und der Beitragenden, die Organisation HA / Sie vertritt
Oder ist gesponsert von (falls vorhanden), der Internet Society und das Internet
Engineering Task Force JEGLICHE GEWÄHRLEISTUNG, AUSDRÜCKLICH ODER STILLSCHWEIGEND,
Einschließlich, aber nicht beschränkt auf jegliche Garantie, dass die Verwendung des
Informationen hierin wird nicht gegen die Rechte oder alle stillschweigenden
Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck.
Geistiges Eigentum
Die IETF übernimmt keine Position in Bezug auf die Gültigkeit oder Umfang etwaiger
Rechten geistigen Eigentums oder andere Rechte, die möglicherweise geltend gemacht werden, um
beziehen sich auf die Durchführung oder die Verwendung der Technologie in
dieses Dokument oder das Ausmaß, in dem jede Lizenz im Rahmen dieser Rechte
könnten oder auch nicht vorhanden sein; auch nicht vertreten, dass es
gegebenenfalls von unabhängigen Sachverständigen vorgenommen Anstrengungen zur Identifizierung derartiger Rechte. Information
über die Verfahren in Bezug auf Rechte an RFC-Dokumente können
gefunden in BCP 78 und 79 BCP.
Kopien der Rechte an geistigem Eigentum Angaben gemacht zu der IETF-Sekretariat und etwaige
Zusicherungen von Lizenzen zur Verfügung gestellt werden, oder das Ergebnis eines
Versuch gemacht, um eine allgemeine Lizenz oder Erlaubnis für die Verwendung von
die proprietären Rechte von Entwickler oder Anwender von diesem
Spezifikation kann bei der IETF-On-line-IPR-Repository auf
http://www.ietf.org/ipr.
Die IETF lädt alle interessierten Parteien um ihre Aufmerksamkeit zu jedem
Urheberrechte, Patente oder Patentanmeldungen oder andere proprietäre
Rechte, kann sich auf Technologie, die möglicherweise verlangt wird,
dieser Norm. Bitte übermitteln Sie die Informationen an die IETF in ietf -
ipr@ietf.org.
Danksagung
Die Finanzierung des RFC-Editor-Funktion wird derzeit von der
Internet Society.
Hoffman & Informativ Schneier [Seite 12]
Request for Comments: 4270 VPN-Konsortium
Kategorie: Informationelle B. Schneier
Counterpane Internet Security
November 2005
Angriffe auf kryptographische Hashwerte in Internet-Protokolle
Status dieses Memo
Dieser Vermerk liefert Informationen für die Internet-Gemeinde. Es tut
nicht angeben, ein Internet-Standard von allen Seiten betrachten. Verteilung dieser
Memo ist unbegrenzt.
Copyright Notice
Copyright (C) der Internet Society (2005).
Abstract
Die jüngsten Ankündigungen von besser als erwarteten Kollision Anschläge in
Hash-Algorithmen populäre verursacht haben einige Leute auf die Frage, ob
Common Internet-Protokolle geändert werden müssen, und wenn ja, wie. Dies
Dokument fasst die Verwendung von Hashes in vielen Protokollen, bespricht
Kollision, wie die Anschläge beeinflussen und haben keinen Einfluss auf die Protokolle,
zeigt, wie durchkreuzen bekannte Angriffe auf digitalen Zertifikaten, und
erörtert künftige Richtungen für die Protokoll-Designer.
1. Einleitung
Im Sommer 2004 hat ein Team von Wissenschaftlern hat gezeigt, konkrete Beweise dafür, dass
die MD5-Hash-Algorithmus wurde anfällig für Angriffe Kollision
[MD5-Attacke]. Im Frühjahr 2005, das gleiche Team gezeigt, eine ähnliche
Angriff auf eine Variante des SHA-1 [RFC3174] Hash-Algorithmus, mit einem
Vorhersage, dass die normalerweise verwendet SHA-1 wäre auch empfänglicher
mit einer großen Menge an Arbeit (aber auf ein Niveau unter dem, was sollte
erforderlich, wenn SHA-1 arbeitet korrekt) [SHA-1-Angriff]. Auch im frühen
2005, Forscher zeigten eine spezifische Konstruktion der PKIX-Zertifikate
[RFC3280], dass die Verwendung MD5 für die Unterzeichnung [PKIX-MD5-Bau], und
ein weiterer Forscher zeigten eine schnellere Methode zum Finden von MD5-Kollisionen
(acht Stunden auf einer 1,6-GHz-PC) [MD5-schneller].
Aufgrund dieser Ankündigungen gab es ein hohes Maß an
Diskussion von Kryptographie-Experten, Protokoll-Designer und andere
besorgt über das, was Menschen, wenn überhaupt, sollte getan werden, basierend auf der
Hoffman & Informativ Schneier [Seite 1]
RFC 4270 Angriffe auf Hashes November 2005
Nachrichten. Leider sind einige dieser Gespräche wurden auf der Grundlage
falsche Interpretationen der beiden die Neuerungen und darüber, wie Hash-Algorithmen
werden in gemeinsamen Internet-Protokolle.
Hash-Algorithmen werden von Kryptographen in einer Vielzahl von Sicherheits -
Protokolle für eine Vielzahl von Zwecken, auf allen Ebenen des Internet
Protokoll-Stack. Sie werden verwendet, weil sie über zwei Sicherheitslücken
Eigenschaften: nach dem Weg und ein Zusammenstoß kostenlos. (Es geht eher darum,
diese Eigenschaften im nächsten Abschnitt, sie sind leichter zu erklären
Begriffe von ihnen brechen.) Die jüngsten Anschläge haben gezeigt, dass
einer dieser Eigenschaften Sicherheit ist nicht wahr. Es ist zwar gewiss
möglich ist, und auf den ersten Blick sogar wahrscheinlich, dass die gebrochenen
Sicherheit Eigenschaft hat keine Auswirkungen auf die allgemeine Sicherheit von vielen
spezifische Internet-Protokolle, die Sicherheit konservativen Ansatz besteht darin,
Hash-Algorithmen ändern. Das Internet-Protokoll Gemeinschaft muss
Migration in einer geordneten Art und Weise weg von SHA-1 und MD5 - vor allem
MD5 - und mehr in Richtung Secure Hash-Algorithmen.
Dieses Dokument fasst zusammen, was derzeit bekannt über Hash
Algorithmen und die Internet-Protokolle, die sie benutzen. Es gibt auch
Tipps zur Vermeidung von der derzeit bekannten Probleme mit MD5 und
SHA-1, und was zu beachten, wenn prognostizierte reale Attacken geworden.
Eine hochrangige Zusammenfassung der derzeitigen Situation ist:
o Beide MD5 und SHA-1 neu gefunden haben Angriffe gegen sie, die
Angriffe auf MD5 wesentlich strenger als die Angriffe
gegen SHA-1.
o Die Angriffe auf MD5 sind praktisch in jedem modernen Computer.
o Die Angriffe auf SHA-1 nicht durchführbar sind mit heutigen Computern,
aber sie wird erst, wenn die Angriffe werden verbessert oder Moore's Law weiter
um Rechenleistung billiger.
o Viele gängige Internet-Protokolle verwenden Hashes in einer Art und Weise, die
unberührt von diesen Attacken.
o Die meisten der betroffenen Protokolle verwenden digitale Signaturen.
o Bessere Hash-Algorithmen verringert sich die Anfälligkeit dieser
Angriffe auf ein akzeptables Niveau für alle Benutzer.
2. Hash-Algorithmen und Angriffe auf sie
Eine "perfekte" Hash-Algorithmus hat ein paar grundlegende Eigenschaften. Der Algorithmus
wandelt ein Stück von Daten (in der Regel eine Nachricht) jeder Größe in eine
fester Größe. Die Länge des Ergebnisses wird als "Hash -
Hoffman & Informativ Schneier [Seite 2]
RFC 4270 Angriffe auf Hashes November 2005
length "und wird oft bezeichnet als" L "; das Ergebnis der Anwendung der Hash
Algorithmus auf einem bestimmten Teil der Daten wird als "Hash-Wert"
für diese Daten. Alle zwei verschiedene Nachrichten beliebiger Größe, sollte über einen
äußerst geringen Wahrscheinlichkeit, dass der gleiche Hash-Wert,
unabhängig davon, wie ähnlich oder unterschiedlich sind die Nachrichten.
Diese Beschreibung führt zu zwei mathematischen Ergebnisse. Finden sie ein Paar
Nachrichten von M1 und M2, die den gleichen Hash-Wert dauert 2 ^ (L / 2)
Versuche. Für eine vernünftige Hash-Länge, ist dies eine unmögliche
Problem zu lösen (Kollision kostenlos). Auch, da eine Nachricht M1, finden
jede andere Nachricht, dass M2 hat die gleiche Hash-Wert als M1 dauert 2 ^ L
Versuche. Dies ist ein Problem noch schwieriger zu lösen (one way).
Beachten Sie, dass dies ist die Beschreibung einer perfekten Hash-Algorithmus, wenn die
Algorithmus ist weniger als perfekt ist, kann ein Angreifer aufwenden weniger als die
voller Höhe zu finden, zwei Nachrichten mit dem gleichen Hash-Wert.
Es gibt zwei Arten von Angriffen.
Angriffe auf die "Kollision-free"-Immobilie:
o Ein "Zusammenstoß Angriff" erlaubt es einem Angreifer zu finden zwei Nachrichten M1
und M2, die den gleichen Hash-Wert in weniger als 2 ^ (L / 2)
Versuche.
Angriffe gegen den "one-way"-Immobilie:
o Ein "first-Preimage-Angriff" erlaubt es einem Angreifer, weiß ein gewünschtes
Hash-Wert zu finden, eine Nachricht, dass die Ergebnisse in diesem Wert in weniger
als 2 ^ L versucht.
o Ein "Second-Preimage-Angriff" erlaubt es einem Angreifer, hat ein gewünschtes
M1 Nachricht zu finden, eine andere Nachricht, dass M2 hat die gleiche Hash-Wert
in weniger als 2 ^ L versucht.
Die beiden preimage Angriffe sind sehr ähnlich. In einem ersten-preimage
Angriff, wissen Sie, einen Hash-Wert, aber nicht die Nachricht, dass sie erstellt wurden,
und Sie entdecken wollen jede Nachricht mit dem Hash-Wert bekannt, in
die zweite-Preimage-Angriff, haben Sie eine Nachricht und Sie finden wollen ein
zweite Botschaft, dass hat den gleichen Hash. Die Attacken finden, dass ein
Art der preimage können oft fest, der andere als gut.
Bei der Analyse der Verwendung von Hash-Algorithmen in Protokollen, ist es
wichtig zu unterscheiden, welche der beiden Eigenschaften sind Hashes
wichtig, besonders jetzt, da die Kollision-freies Eigentum ist
immer schwächer zu derzeit populären Hash-Algorithmen. Es ist
sicherlich wichtig, um festzustellen, welche Parteien wählen Sie das Material
Hashwert wird. Darüber hinaus ist, wie gezeigt, durch die einige der frühen Arbeiten,
Hoffman & Informativ Schneier [Seite 3]
RFC 4270 Angriffe auf Hashes November 2005
Besonders [PKIX-MD5-Bau], ist es auch wichtig,
prüfen, welche Partei kann vorhersagen, das Material zu Beginn des
Hash-Objekt.
2,1. Bisher bekannte Angriffe
Alle derzeit bekannten praktischen oder fast-praktische Angriffe auf MD5
und SHA-1 sind Kollision Attacken. Dies ist das Glück: signifikante
First-und Second-preimage Angriffe auf einen Hash-Algorithmus wäre viel
mehr verheerenden in der realen Welt als Zusammenstoß Angriffe, wie
beschrieben, später in diesem Dokument.
Es ist auch wichtig zu beachten, dass die derzeitige Kollision Angriffe
erfordern mindestens einer der beiden Nachrichten an eine faire Betrag von
Struktur in die Bits der Nachricht. Dies bedeutet, dass die Suche nach zwei
Nachrichten, dass beide haben das gleiche Hash-Wert * und * sind nützlich, in einem
Real-World-Attacke ist mehr als nur schwer zu finden zwei Nachrichten
mit dem gleichen Hash-Wert.
3. Wie Internet-Protokolle verwenden Hash-Algorithmen
Hash-Algorithmen werden in vielerlei Hinsicht auf das Internet. Äußerst
Protokolle, die Hash-Algorithmen tun dies in einer Weise, dass sie
immun gegen Schäden durch Kollision Attacken. Dies ist nicht zufällig: gut
Protokoll Designer entwickeln ihre Protokolle, um so viele
zukünftige Änderungen bei den zugrunde liegenden Kryptographie wie möglich, einschließlich
Angriffe auf die kryptographischen Algorithmen.
Verwendet für Hash-Algorithmen sind:
o Non-repudiable digitale Signaturen auf Nachrichten. Nicht-Zurückweisung ist
ein Wertpapier-Service, bietet Schutz gegen falsche Denial -
der Beteiligung in einer Mitteilung. S / MIME und OpenPGP-Mail ermöglichen
Absender zu unterzeichnen den Inhalt einer Botschaft, die sie schaffen, und die
Empfänger der Nachricht kann überprüfen, ob die Unterschrift
ist tatsächlich im Zusammenhang mit der Nachricht. Eine Nachricht wird zur
Nicht-Zurückweisung, wenn die Nachricht signiert ist und der Empfänger der
Nachricht kann die spätere Verwendung der Unterschrift zu beweisen, dass der Unterzeichner
Tatsächlich hat die Nachricht.
o Digitale Signaturen in Zertifikaten von vertrauenswürdigen Dritten.
Das ist zwar ähnlich wie "digitale Signaturen auf Nachrichten",
Zertifikate selbst werden in vielen anderen Protokollen für
Authentifizierung und Key Management.
o Challenge-Response-Protokollen. Diese Protokolle kombinieren eine öffentliche
große Zufallszahl mit einem Wert um den Wert ausblenden, wenn sie
nicht über unverschlüsselte Kanäle.
Hoffman & Informativ Schneier [Seite 4]
RFC 4270 Angriffe auf Hashes November 2005
o Message-Authentifizierung mit gemeinsamen Geheimnissen zu erforschen. Diese sind vergleichbar mit
Challenge-Response-Protokollen, außer, dass anstelle der Verwendung von öffentlichen
Werte, wird die Nachricht in Verbindung mit einem gemeinsamen Geheimnis vor
Hashing.
o Key Ableitung Funktionen. Diese Funktionen machen wiederholte Verwendung von
Hash-Algorithmen zu mischen Daten in eine beliebige Zeichenfolge für den Einsatz in einem oder
mehr Schlüssel für eine kryptographische Protokoll.
o Mixing Funktionen. Diese Funktionen machen wiederholte Verwendung von Hash
Algorithmen zu mischen Daten in zufälligen Zeichenfolgen, zu anderen Zwecken als
kryptographischen Schlüsseln.
o Integrität geschützt werden. Es ist zu vergleichen einen Hash-Wert,
empfangen wird Out-of-Band für eine Datei mit dem Hash-Wert der Datei
nachdem sie empfangen wird über einen ungesicherten Protokoll wie FTP.
Von den oben genannten Methoden, nur die ersten beiden Beeinträchtigung durch Kollision
Attacken, und auch dann nur unter bestimmten Bedingungen erlauben. Bisher ist es
glaubten, dass im Allgemeinen, Challenge-Response-Protokolle sind nicht
anfällig, weil die Absender Authentifizierung ist bereits ein Geheimnis
gespeichert durch den Empfänger. In Nachricht Authentifizierung mit geteilten
Geheimnisse, die Tatsache, dass das Geheimnis ist bekannt, dass beide Parteien ist auch
glaubten, dass sie keine vernünftigen Angriff. Alle wesentlichen Ableitung
Funktionen in IETF-Protokolle nehmen zufälliger Eingabe von beiden Parteien, also
der Angreifer hat keine Möglichkeit der Strukturierung der Hash-Nachricht.
4. Hash-Kollision Angriffe und Anerkennung der digitalen Signaturen
Die Grundidee hinter der Kollision Angriff auf einen Hash-Algorithmus verwendet
in einer digitalen Signatur-Protokoll ist, dass der Angreifer erstellt zwei
Nachrichten, die den gleichen Hash-Wert, Ursachen einer von ihnen zu sein
unterzeichnet, und dann verwendet, dass über die Unterzeichnung andere Nachricht für einige
aggressivsten Zweck. Die Besonderheiten des Angriffs hängt davon ab, die
Protokoll verwendet wird und was das Opfer tut, wenn mit dem
signierten Nachricht.
Das kanonische Beispiel ist, wo Sie zwei Meldungen, von denen einer
sagt: "Ich zahle $ 10 für diesen Job tun" und den anderen von der sagt
"Ich bezahle $ 10.000 für diesen Job tun". Sie präsentieren die erste
Botschaft an die Opfer, sie, es zu unterzeichnen, den Job, Ersatz
die zweite Nachricht in die unterzeichnete Vollmacht, die verändert
signierten Nachricht (dessen Unterzeichnung noch überprüft), und die Nachfrage
höheren Geldbetrag. Wenn das Opfer sich weigert, nehmen Sie sie
Gericht und zeigen den zweiten signierten Nachricht.
Hoffman & Schneier Informational [Page 5]
RFC 4270 Angriffe auf Hashes November 2005
Die meisten Nicht-Zurückweisung Angriffe auf eine menschliche Beurteilung der Gültigkeit
der vermeintlich signierten Nachricht. Im Falle der Hash-Kollisionen
Angriff, das angeblich signierten Nachricht Unterschrift gültig ist, aber so
ist die Unterschrift auf dem Original-Nachricht. Das Opfer kann die
Original-Nachricht, zeigen, dass er / sie unterzeichnet haben, und zeigen, dass die beiden
Hash-Werte identisch sind. Die Chance, dies geschieht durch Unfall
ist ein auf 2 ^ L, das ist infinitesimal kleinen entweder für MD5 oder
SHA-1.
Mit anderen Worten, zu vereiteln einen Hash-Kollisionen Anschlag in einem nicht -
Verstoßung-Protokoll, wo ein Mensch ist mit einem signierten Nachricht als
Autorisierung, die Unterzeichner muss eine Kopie des Originals
Nachricht er / sie unterzeichnet. Nachrichten, die anderen Nachrichten mit der
gleiche Hash geschaffen werden muss durch die gleiche Person ist, und nicht geschehen durch
Unfall unter keinen Umständen wahrscheinlich bekannt. Die Tatsache, dass die
zwei Nachrichten haben die gleiche Hash-Wert sollte Anlass genug, im Zweifel
den Geist der Person zu urteilen die Gültigkeit der Signatur zu verursachen
die rechtlichen Angriff zum Scheitern verurteilt (und möglicherweise bringen vorsätzliche Betrug
Anklage gegen die Angreifer).
Unterbindung Hash-Kollisionen Anschläge in automatisierten Nicht-Zurückweisung
Protokolle ist möglicherweise schwieriger, denn es kann keine
Menschen zahlen genug Aufmerksamkeit zu können argumentieren, was sollte
geschehen. Zum Beispiel in Electronic Data Interchange (EDI)
Anwendungen, Aktionen sind in der Regel automatisch nach
Authentifizierung einer signierten Nachricht. Die Bestimmung der praktischen
Auswirkungen von Hash-Kollisionen würde eine detaillierte Auswertung der
Protokoll.
5. Hash-Kollision Angriffe und digitale Zertifikate aus vertrauenswürdigen dritten
Parteien
Digitale Zertifikate sind ein Sonderfall der digitalen Signaturen. In
Generell gibt es keine Nicht-Abstreitbarkeit Angriff auf vertrauenswürdige Dritte
aufgrund der Tatsache, dass Zertifikate haben spezielle Formatierung. Digital
Zertifikate werden häufig in Internet-Protokolle für die Schlüssel-Management
und zur Authentifizierung von einer Partei, mit denen Sie kommunizieren,
möglicherweise, bevor ein Zugriff auf Netzdienste oder die vertrauensvolle
Party mit privaten Daten wie Kreditkarten-Informationen.
Es ist daher wichtig, dass die Gewährung Partei vertrauen können, dass die
Zertifikat korrekt identifiziert die Person oder das System durch
das Zertifikat. Wenn der Angreifer kann ein Zertifikat für zwei
verschiedenen Identitäten mit nur einem öffentlichen Schlüssel, das Opfer kann
getäuscht zu glauben, dass eine Person ist jemand anderes.
Hoffman & Informativ Schneier [Seite 6]
RFC 4270 Angriffe auf Hashes November 2005
Die Kollision Angriff auf PKIX-Zertifikate in den frühen 2005
sich auf die Fähigkeit des Angreifers zu schaffen, zwei verschiedene öffentliche
Schlüssel, würde dazu führen, dass der Körper des Zertifikats im Besitz des gleichen
Hash-Wert. Für diesen Angriff auf Arbeit, der Angreifer muss in der Lage
zur Vorhersage der Inhalt und die Struktur des Zertifikats, bevor es
ausgestellt, darunter die Identität, die verwendet werden, die Seriennummer
das wird in der Bescheinigung und die Start-und Stopp -
Termine der Gültigkeitszeitraum für das Zertifikat.
Die tatsächliche Folge dieser Attacke ist, dass eine Person mit einem einzigen
Identität kann sich ein digitales Zertifikat über einen öffentlichen Schlüssel, sondern werden
können so tun, als ob es über einen anderen öffentlichen Schlüssel (aber mit der
gleiche Identität, Gültigkeit, und so weiter). Da die Identität in der
zwei Zertifikate ist die gleiche, es gibt wahrscheinlich keinen realen Welt
Beispiele, in denen ein solcher Angriff würde sich der Angreifer keinen Vorteil.
Am besten, man könnte behaupten, dass die vertrauenswürdige dritte Partei einen
Fehler durch die Ausstellung eines Zertifikats mit dem gleichen Identität und serielle
Zahl stützt sich auf zwei verschiedene öffentliche Schlüssel enthalten. Dies ist in der Tat
weit hergeholt.
Es ist sehr wichtig, darauf hinzuweisen, dass die Kollision nur Angriffe auf die
Teile von Zeugnissen, die nicht lesbare Informationen in
sie, wie der öffentliche Schlüssel enthalten. Ein Angriff, bei der sich ein
Zertifikat mit einem von Menschen lesbaren Identität und das
Zertifikat nützlich für eine zweite lesbare Identität erfordern würde
mehr Aufwand als eine einfache Kollision Angriff.
5,1. Die Verringerung der Wahrscheinlichkeit eines Hash-basierte Angriffe auf PKIX-Zertifikate
Wenn eine vertrauenswürdige dritte Partei, Fragen PKIX-Zertifikate will vermeiden
Angriff der oben beschriebenen, können sie verhindern, dass der Angriff durch
andere Teile unterzeichnet des Zertifikats zufällig genug, um jegliche
Vorteil erlangt durch den Angriff. Ideen wurden vorgeschlagen
gehören:
o Making Teil der Bescheinigung Seriennummer auf der unberechenbaren
Angreifer
o Hinzufügen eines zufällig gewählten Komponente der Identität
o Making Gültigkeit der Daten unberechenbar an den Angreifer von Schiefstellung
jeweils nach vorne oder nach hinten
Jede dieser Mechanismen würde die Menge an Arbeit, die
Angreifer Bedürfnisse zu tun, um Trick der Emittent des Zertifikats in
Erzeugen eines Zertifikats, das anfällig für den Angriff.
Hoffman & Informativ Schneier [Seite 7]
RFC 4270 Angriffe auf Hashes November 2005
6. Zukünftige Anschläge und ihre Auswirkungen
Es gibt eine Unstimmigkeit in der Sicherheits-Community, was zu tun
jetzt. Auch die beiden Autoren des Dokuments nicht einverstanden, was zu tun ist
jetzt.
Einer von uns (Bruce) ist der Auffassung, dass jeder sollte zu Beginn der Migration
SHA-256 [SHA-256] nun, aufgrund der Schwächen, die bereits
gezeigt, in beiden MD5 und SHA-1. Es gibt ein altes Sprichwort im Inneren
der US National Security Agency (NSA): "Die Attacken immer besser;
sie nie schlechter. "Die aktuelle Kollision Angriffe auf MD5 sind
einfach auf einem einzelnen Computer, die Kollision Angriffe auf SHA-1
sind bei weitem die Kante der Machbarkeit heute, aber nur verbessern, mit
Zeit. Es ist besser, zu migrieren, um die neuen Hash-Standard vor
gibt es eine Panik, anstatt nach. Genauso wie wir alle wanderten aus
SHA-0 auf SHA-1 basiert auf einige unbekannte Sicherheitslücke entdeckt innen
der NSA, brauchen wir die Migration von SHA-1 auf SHA-256 auf der Grundlage dieser meisten
jüngsten Angriffe. SHA-256 verfügt über eine 256-Bit Hash-Länge. Diese Länge wird
geben Sie uns eine viel größere Sicherheitsmarge im Falle der neu
Angriffe entdeckt. Inzwischen sind weitere Forschungsarbeiten innerhalb der
kryptographische Gemeinschaft in den nächsten Jahren zeigen soll
weitere Verbesserungen in Hash Algorithm Design, und möglicherweise ein
noch sicherer Hash-Algorithmus.
Die anderen von uns (Paul) ist der Auffassung, dass dies nicht klug für zwei
Gründe. Erstens ist die Kollision Angriffe auf aktuelle Protokolle sind nicht
erwiesen haben alle erkennbaren realen Welt Auswirkungen. Darüber hinaus
ist noch nicht klar, welche stärkere Hash-Algorithmus wird eine gute Wahl
auf lange Sicht. Der Umzug von einem Algorithmus auf eine andere führt zu
unvermeidlichen Mangel an Interoperabilität und Verwirrung für typische Krypto
Benutzer. (Natürlich, wenn eine praktische Angriffe formuliert werden, bevor
Gemeinde gibt es Konsens über die Eigenschaften der Chiffre-basierten
Hash-Algorithmen, Paul ändern würde seiner Meinung nach "Move to SHA-256
jetzt ".)
Beide Autoren stimmen darin überein, dass Arbeit sollte getan werden, damit alle Internet -
Protokolle verwenden können verschiedene Hash-Algorithmen mit längeren Hash
Werte. Glücklicherweise sind die meisten Protokolle bereits heute in der Lage sind,
; diejenigen, die nicht festgelegt werden sollte bald.
Die Autoren dieses Dokuments fühlen ähnlich für neue Protokolle werden
entwickelt: Bruce meint, sie sollten beginnen mit SHA-256 aus dem
beginnen, und Paul denkt, dass sie verwenden sollten SHA-1, solange die neue
Protokolle sind nicht anfällig für Angriffe Kollision. Jede neue Protokoll
müssen die Fähigkeit zur Veränderung aller seiner kryptographischen Algorithmen,
nicht nur seinen Hash-Algorithmus.
Hoffman & Informativ Schneier [Seite 8]
RFC 4270 Angriffe auf Hashes November 2005
7. Security Considerations
Das gesamte Dokument beschreibt, Sicherheit im Internet.
Die Diskussion in diesem Dokument geht davon aus, dass nur die Angriffe auf Hash -
Algorithmen, die in Internet-Protokolle sind Kollision Attacken. Einige
signifikanten preimaging Angriffe wurden bereits entdeckt
[Preimaging-Attacke], aber sie sind noch nicht praktikabel. Wenn ein praktisches
preimaging Angriff entdeckt wird, wäre es drastisch auf viele
Internet-Protokolle. In diesem Fall, "praktische" bedeutet, dass es könnte
ausgeführt von einem Angreifer in einen sinnvollen Höhe der Zeit für eine
sinnvolle Geldbetrag. Ein Angriff preimaging, dass die Kosten Billionen
Dollar und nimmt seit Jahrzehnten zu preimage ein gewünschten Hash-Wert oder
Eine Botschaft ist nicht praktikabel; ein, dass die Kosten ein paar Tausend Dollar
und nimmt ein paar Wochen könnte sehr praktisch.
8. Informative Referenzen
[MD5-Attacke] X. Wang, D. Feng, X. Lai, und H. Yu,
"Kollisionen zu Hash-Funktionen MD4, MD5,
HAVAL-128 und RIPEMD ", August 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-schneller] Vlastimil Klima, "Finding MD5 Kollisionen --
Spielzeug für ein Notebook ", März 2005,
<http://cryptography.hyperlink.cz/
md5/MD5_collisions.pdf>.
[PKIX-MD5-Bau] Arjen Lenstra und Benne de Weger, "Auf der
Möglichkeit des Baus sinnvolle Hash
Kollisionen für öffentliche Schlüssel ", Februar 2005,
<http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / DDL-final.pdf>.
[Preimaging-Attacke] John Kelsey und Bruce Schneier, "Second
Preimages auf n-Bit-Hash-Funktionen für viel
Weniger als 2 ^ n Arbeit ", November 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. und P. Jones, "US Secure Hash
Algorithm 1 (SHA1) ", RFC 3174,
September 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., und D. Solo,
"Internet X.509 Public Key Infrastructure
Certificate und Certificate Revocation List
(CRL) Profile ", RFC 3280, April 2002.
Hoffman & Informativ Schneier [Seite 9]
RFC 4270 Angriffe auf Hashes November 2005
[SHA-1-Angriff] Xiaoyun Wang, Yiqun Lisa Yin und Hongbo Yu,
"Collision Suche Angriffe auf SHA1",
Februar 2005
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal Information Processing
Standards Publication (FIPS PUB) 180-2,
Secure Hash Standard ", August 2002.
Hoffman & Informativ Schneier [Seite 10]
RFC 4270 Angriffe auf Hashes November 2005
Anhang A. Danksagungen
Die Autoren danken den IETF-Gemeinde, insbesondere
die aktive SAAG auf der Mailing-Liste, für ihre Beiträge. Wir würden
Außerdem danke Eric Rescorla zu früh Material, das ging in
die erste Version, und Arjen Lenstra und Benne de Weger für
signifikanten Bemerkungen zu der ersten Version dieses Dokuments.
Authors' Adressen
Paul Hoffman
VPN-Konsortium
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Informativ Schneier [Seite 11]
RFC 4270 Angriffe auf Hashes November 2005
Full Copyright Statement
Copyright (C) der Internet Society (2005).
Dieses Dokument ist vorbehaltlich der Rechte, Lizenzen und Beschränkungen
in BCP 78, und mit Ausnahme der darin festgelegten, die Autoren
behalten alle ihre Rechte.
Dieses Dokument und die hierin enthaltenen Informationen sind, auf einem
"WIE IST"-Basis und der Beitragenden, die Organisation HA / Sie vertritt
Oder ist gesponsert von (falls vorhanden), der Internet Society und das Internet
Engineering Task Force JEGLICHE GEWÄHRLEISTUNG, AUSDRÜCKLICH ODER STILLSCHWEIGEND,
Einschließlich, aber nicht beschränkt auf jegliche Garantie, dass die Verwendung des
Informationen hierin wird nicht gegen die Rechte oder alle stillschweigenden
Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck.
Geistiges Eigentum
Die IETF übernimmt keine Position in Bezug auf die Gültigkeit oder Umfang etwaiger
Rechten geistigen Eigentums oder andere Rechte, die möglicherweise geltend gemacht werden, um
beziehen sich auf die Durchführung oder die Verwendung der Technologie in
dieses Dokument oder das Ausmaß, in dem jede Lizenz im Rahmen dieser Rechte
könnten oder auch nicht vorhanden sein; auch nicht vertreten, dass es
gegebenenfalls von unabhängigen Sachverständigen vorgenommen Anstrengungen zur Identifizierung derartiger Rechte. Information
über die Verfahren in Bezug auf Rechte an RFC-Dokumente können
gefunden in BCP 78 und 79 BCP.
Kopien der Rechte an geistigem Eigentum Angaben gemacht zu der IETF-Sekretariat und etwaige
Zusicherungen von Lizenzen zur Verfügung gestellt werden, oder das Ergebnis eines
Versuch gemacht, um eine allgemeine Lizenz oder Erlaubnis für die Verwendung von
die proprietären Rechte von Entwickler oder Anwender von diesem
Spezifikation kann bei der IETF-On-line-IPR-Repository auf
http://www.ietf.org/ipr.
Die IETF lädt alle interessierten Parteien um ihre Aufmerksamkeit zu jedem
Urheberrechte, Patente oder Patentanmeldungen oder andere proprietäre
Rechte, kann sich auf Technologie, die möglicherweise verlangt wird,
dieser Norm. Bitte übermitteln Sie die Informationen an die IETF in ietf -
ipr@ietf.org.
Danksagung
Die Finanzierung des RFC-Editor-Funktion wird derzeit von der
Internet Society.
Hoffman & Informativ Schneier [Seite 12]