Quelques RFCs
D'autres RFCs
Publicité
RFC 4270 Traducción al español |
 |
 |
 |
 |
 |
 |
Red Grupo de Trabajo P. Hoffman
Petición de Comentarios: 4270 VPN Consorcio
Categoría: Informativo B. Schneier
Counterpane Internet Security
Noviembre 2005
Ataques a resúmenes criptográficos en protocolos de Internet
Condición de este memo
Este memorándum proporciona información para la comunidad de Internet. No
No especifica un estándar de Internet de ningún tipo. Distribución de este
Memo es ilimitada.
Aviso de Copyright
Copyright (C) The Internet Society (2005).
Resumen
Los recientes anuncios de las mejores de lo esperado en los ataques de colisión
Algoritmos hash populares han causado a algunas personas a la pregunta de si
Común de protocolos de Internet, hay que cambiar, y si es así, cómo. Este
Documento se resume el uso de hashes en muchos protocolos, discute
La forma en que la colisión afecta a los ataques y no afectan a los protocolos,
Muestra cómo frustrar ataques conocidos sobre los certificados digitales, y
Se analiza la orientación futura de los diseñadores de protocolo.
1. Introducción
En el verano de 2004, un equipo de investigadores reveló pruebas concretas de que
El algoritmo de hash MD5 es susceptible a ataques de colisión
[MD5-ataque]. A principios de 2005, el mismo equipo demostró una similar
Ataque contra una variante de la SHA-1 [RFC3174] algoritmo de control, con una
Predicción que la que normalmente se utiliza SHA-1 también sería susceptible
Con una gran cantidad de trabajo (pero a un nivel por debajo de lo que debería ser
Si SHA-1) [funcionado correctamente SHA-1-ataque]. También a principios de
2005, los investigadores mostraron una construcción de certificados PKIX
[RFC3280] que el uso de la firma MD5 [PKIX-MD5-construcción], y
Otro investigador mostró un método más rápido para encontrar colisiones MD5
(Ocho horas con una computadora de 1.6 GHz) [MD5-más rápido].
Debido a estos anuncios, ha habido una gran cantidad de
Debate por la criptografía de expertos, diseñadores de protocolo, y otros
Las personas interesadas acerca de lo que, en todo caso, debe hacerse sobre la base de la
Hoffman & Schneier sobre la Información [Página 1]
RFC 4270 Ataques a Hashes Noviembre 2005
Noticias. Por desgracia, algunas de estas discusiones se han basado en
Interpretaciones erróneas tanto de la noticia y sobre la forma de algoritmos hash
Se utilizan en común de protocolos de Internet.
Algoritmos hash son utilizadas por los criptógrafos en una variedad de seguridad
Protocolos, para una variedad de propósitos, en todos los niveles de Internet
Pila de protocolos. Se utilizan porque tienen dos garantías
Propiedades: una manera de ser libre y de colisión. (Hay más información acerca de
Estas propiedades en la siguiente sección, que son más fáciles de explicar en
Términos de ruptura.) Los ataques recientes han demostrado que la
Una de las propiedades de seguridad no es verdad. Si bien es cierto,
De lo posible, y a primera vista, incluso probable, que el roto
Seguridad de la propiedad no afectará a la seguridad general de muchos
Específicas de los protocolos de Internet, el enfoque conservador de seguridad es
Cambiar los algoritmos hash. El protocolo de la Internet a las necesidades de la comunidad
Migrar de manera ordenada fuera de la SHA-1 y MD5 - especialmente
MD5 - y hacia los algoritmos hash más seguro.
Este documento resume lo que actualmente se conoce acerca de hash
Algoritmos y los protocolos de Internet que los utilizan. También da
Asesoramiento sobre la manera de evitar los problemas que actualmente se conoce con MD5 y
SHA-1, y lo que hay que considerar si predicho los ataques de uno de ellos.
Un alto nivel de resumen de la situación actual es la siguiente:
Tanto o MD5 y SHA-1 se han encontrado recientemente los ataques contra ellos, el
Los ataques contra MD5 es mucho más grave que los ataques
Contra SHA-1.
O Los ataques contra MD5 son prácticos en cualquier ordenador moderno.
O Los ataques contra SHA-1 no son viables hoy en día con los ordenadores,
Pero si se mejora de los ataques son o Ley de Moore continúa
A la potencia de las computadoras más baratas.
Muchos común o protocolos de Internet, el uso hashes en formas que sean
No afectados por estos ataques.
O La mayoría de los afectados protocolos de uso de firmas digitales.
O Mejora de los algoritmos hash reducirá la susceptibilidad de estos
Ataques a un nivel aceptable para todos los usuarios.
2. Hash Algoritmos y ataques contra ellos
Un "perfecto" algoritmo de control tiene algunas propiedades básicas. El algoritmo
Convierte una parte de los datos (normalmente, un mensaje) de cualquier tamaño en una
Resultado de tamaño fijo. La longitud de la raíz se llama el "hash
Hoffman & Schneier sobre la Información [Página 2]
RFC 4270 Ataques a Hashes Noviembre 2005
Longitud ", y es a menudo señalados como" L ", el resultado de aplicar el hash
Algoritmo sobre un fragmento de los datos se denomina el "valor"
Para que los datos. Cualquier dos diferentes mensajes de cualquier tamaño deberían tener un
Extremadamente pequeña probabilidad de que tengan el mismo valor hash,
Independientemente de la forma en similares o diferentes son los mensajes.
Esta descripción nos lleva a dos resultados matemáticos. Encontrar un par
De los mensajes M1 y M2 que tengan el mismo valor hash es de 2 ^ (L / 2)
Intentos. Para cualquier razonable hash longitud, se trata de un imposible
Problema a resolver (libre de colisiones). Asimismo, en vista de un mensaje M1, la búsqueda de
M2 cualquier otro mensaje que tiene el mismo valor hash como M1 es de 2 ^ L
Intentos. Este es un problema aún más difícil de resolver (un trayecto).
Tenga en cuenta que esta es la descripción de un algoritmo hash perfecto, y si el
Algoritmo es menos que perfecta, un atacante puede gastar menos de la
Importe total de esfuerzo para encontrar dos mensajes con el mismo valor hash.
Hay dos categorías de los ataques.
Los ataques contra el "libre de colisión" de propiedad:
O Un "ataque colisión" permite a un atacante para encontrar dos mensajes M1
M2 y que tienen el mismo valor en menos de 2 ^ (L / 2)
Intentos.
Los ataques contra el "un solo sentido" la propiedad:
O Un "primer ataque preimage" permite a un atacante que sabe deseado
Valor control para encontrar un mensaje que se traduce en que el valor en menos
De 2 ^ L intentos.
O Una "segunda preimage ataque" permite a un atacante que tenga un deseado
M1 mensaje para encontrar otro mensaje M2 que tiene el mismo valor de hash
En menos de 2 ^ L intentos.
Los dos preimage ataques son muy similares. En una primera preimage
Ataque, usted sabe que un valor de hash, pero no el mensaje de que lo creó,
Y quiere descubrir cualquier mensaje con el valor de hash conocido, en
La segunda-preimage ataque, usted tiene un mensaje y quiere encontrar una
Segundo mensaje que tiene el mismo hash. Los ataques que puede encontrar una
Tipo de preimage puede encontrar el otro también.
Al analizar el uso de algoritmos hash en los protocolos, es
Importante distinguir cuál de las dos propiedades de los hashes son
Importante, sobre todo ahora que la colisión es libre de la propiedad
Cada vez más débiles de los algoritmos hash popular actualmente. Es
Sin duda, importante para determinar qué partes seleccionar el material
Hasheados. Además, como se indica por algunos de los principios de trabajo,
Hoffman & Schneier Informativo [Página 3]
RFC 4270 Ataques a Hashes Noviembre 2005
Particularmente [PKIX-MD5-construcción], que también es importante
Considerar la posibilidad de que parte del material puede predecir al comienzo de la
Hashed objeto.
2,1. Actualmente ataques conocidos
Todas las prácticas conocidas en la actualidad-o casi prácticos ataques a MD5
Y SHA-1 son los ataques de colisión. Esta es la suerte: significativo
De primera y segunda preimage ataques en un algoritmo de control sería mucho
Más devastadores en el mundo real de colisión de los ataques, como
Describe más adelante en este documento.
También es importante señalar que la actual colisión ataques
Requiere por lo menos uno de los dos mensajes que tienen una buena cantidad de
Bits en la estructura del mensaje. Esto significa que la búsqueda de dos
Mensajes que ambos tienen el mismo valor hash * y * son útiles en un
Ataque del mundo real es más difícil que acaba de encontrar dos mensajes
Con el mismo valor hash.
3. ¿Cómo protocolos de Internet, el uso de algoritmos hash
Algoritmos hash se utilizan en muchas maneras en la Internet. La mayoría de
Protocolos que utilizan algoritmos hash hacerlo de una manera que los hace
Inmune a los daños provocados por los ataques de colisión. Esto no es por accidente: buena
Protocolo diseñadores desarrollar sus protocolos para soportar el mayor número de
Cambios futuros en los criptografía como sea posible, incluyendo
Ataques a los algoritmos criptográficos.
Utilización de algoritmos hash son:
Repudiable o no las firmas digitales en los mensajes. No repudio es
Un servicio de seguridad que proporciona protección contra la falsa negación
De la participación en una comunicación. S / MIME y OpenPGP los mensajes
Remitentes a firmar el contenido de un mensaje que crean, y la
Receptor de ese mensaje puede verificar si la firma o no
Es, en realidad, asociado con el mensaje. Un mensaje se usa para
De no repudio, si el mensaje está firmado y el destinatario de la
Mensaje más tarde puede utilizar la firma para demostrar que el que firma
De hecho, se creó el mensaje.
O firmas digitales en los certificados de terceros de confianza.
A pesar de que este es similar al de "firmas digitales en los mensajes",
Propios certificados se utilizan en muchos otros protocolos para
Autenticación y gestión de claves.
O desafío-respuesta protocolos. Estos protocolos combinar un público
Gran número aleatorio con un valor de ayudar a ocultar el valor cuando se
Enviados a través de canales sin cifrar.
Hoffman & Schneier sobre la Información [Página 4]
RFC 4270 Ataques a Hashes Noviembre 2005
O compartida con la autenticación de mensajes secretos. Estas son similares a
Protocolos de desafío-respuesta, excepto que en lugar de utilizar público
Valores, el mensaje forma parte de un secreto compartido antes
Hashing.
Principales funciones o derivación. Estas funciones hacen uso repetido de
Algoritmos hash para mezclar los datos en una secuencia aleatoria para su uso en uno o
Más claves para un protocolo criptográfico.
O La mezcla de funciones. Estas funciones también hacer uso repetido de hash
Algoritmos a los datos en combinación aleatoria de las cadenas, para usos distintos
Claves criptográficas.
O Integridad de protección. Es común para comparar un valor hash que
Que se reciba fuera de la banda de un fichero con el valor hash del archivo
Después de que se recibe sobre un protocolo no garantizados, como FTP.
De los métodos anteriores, sólo los dos primeros se ven afectados por la colisión
Ataques, y aún así, sólo en circunstancias limitadas. Hasta el momento, es
Considera que, en general, de pregunta-respuesta protocolos no son
Susceptibles, porque el remitente es un secreto ya la autenticación
Almacenados por el receptor. En el mensaje de autenticación compartido
Secretos, el hecho de que el secreto es conocido por las dos partes es también
Considera razonable para prevenir cualquier ataque. Todos clave derivación
Funciones en protocolos IETF tomar al azar aportaciones de ambas partes, a fin de
El atacante no tiene manera de estructurar el mensaje hashed.
4. Hash colisión ataques y no repudio de las firmas digitales
La idea básica detrás de la colisión ataque de un algoritmo de control utilizado
En un protocolo de la firma digital-es que el atacante crea dos
Mensajes que tengan el mismo valor hash, una de las causas que se
Firmado, y luego utiliza dicha firma sobre el otro mensaje para algunos
Nefastos propósitos. Los detalles del ataque dependerá de la
Protocolo que se utiliza y lo que hace la víctima cuando se presenta con la
Mensaje firmado.
El ejemplo canónico es donde se crea dos mensajes, uno de los cuales
Dice "voy a pagar $ 10 para hacer este trabajo" y el otro de los que dice
"Estoy dispuesto a pagar 10.000 dólares para hacer este trabajo". Usted presenta a la primera
Mensaje a la víctima, hacer que se firme, hacer el trabajo, el sustituto
En el segundo mensaje firmado la autorización, la modificación del presente
Mensaje firmado (cuya firma todavía verifica), y la demanda
Mayor cantidad de dinero. Si la víctima se niega, que los llevan a
Corte y mostrar el segundo mensaje firmado.
Hoffman & Schneier sobre la Información [Página 5]
RFC 4270 Ataques a Hashes Noviembre 2005
La mayoría de no repudio los ataques se basan en una evaluación de la validez humanos
De la supuestamente firmado mensaje. En el caso de la colisión de hash -
Ataque, supuestamente firmado el mensaje de la firma es válida, pero también lo
Es la firma en el mensaje original. La víctima puede producir la
Mensaje original, muestran que él / ella lo firmó, y muestra que los dos
Valores hash son idénticos. La probabilidad de que esto ocurra por accidente
Es uno en 2 ^ L, que es infinitesimalmente pequeño para bien o MD5
SHA-1.
En otras palabras, para frustrar un hash de colisión en un ataque no
Repudio que un protocolo humanos es mediante un mensaje firmado como
Autorización, el firmante debe conservar una copia de la original
Mensaje de que él / ella firmó. Los mensajes que tienen otro tipo de mensajes con el
Mismo hash debe ser creado por la misma persona, y no pasan por
Accidente probable conocido bajo ninguna circunstancia. El hecho de que el
Dos mensajes tengan el mismo valor hash deben causa suficiente en duda
La mente de la persona a juzgar la validez de la firma a la causa
El ataque legal al fracaso (y posiblemente llevar fraude intencional
Cargos contra el atacante).
Colisión hash frustrar ataques automatizados en el no rechazo
Protocolos es potencialmente más difícil, porque es posible que no
Prestar suficiente atención los seres humanos ser capaces de argumentar acerca de lo que debería
Han ocurrido. Por ejemplo, en el intercambio electrónico de datos (EDI)
Aplicaciones, las acciones suelen ser tomado automáticamente después de
Autenticación de un mensaje firmado. La determinación de la práctica
Efectos de las colisiones hash requeriría una evaluación detallada de la
Protocolo.
5. Hash colisión ataques y certificados digitales de terceros de confianza
Partes
Los certificados digitales son un caso especial de las firmas digitales. En
General, no hay de no repudio ataque a terceros de confianza
Debido al hecho de que los certificados tienen formato específico. Digital
Certificados se utilizan a menudo en protocolos de Internet, para la gestión de claves
Y para autenticar una de las partes con la que te estás comunicando,
Posiblemente antes de conceder el acceso a los servicios de red o de la confianza
Parte con datos privados tales como información de tarjetas de crédito.
Por lo tanto, es importante que la concesión de las partes puede confiar en que la
Certificado identifica correctamente a la persona o sistema identificados por
El certificado. Si el atacante puede obtener un certificado de dos
Utilizando diferentes identidades sólo una clave pública, la víctima puede ser
Engañado a creer que una persona es otra persona.
Hoffman & Schneier Informativo [Página 6]
RFC 4270 Ataques a Hashes Noviembre 2005
La colisión ataque a los certificados PKIX descritas a principios de 2005
Confiado en la capacidad del atacante para crear dos diferentes públicos
Claves que causaría el cuerpo del certificado a tener el mismo
Valor control. Para este ataque al trabajo, el atacante debe poder
Para predecir el contenido y la estructura del certificado antes de que se
Emitidos, incluida la identidad que se utilizará, el número de serie
Que se incluirán en el certificado, y el inicio y parada
Fechas del período de validez del certificado.
El resultado eficaz de este ataque es que una persona que utiliza un único
Identidad pueden obtener un certificado digital que más de una clave pública, pero se
Capaz de fingir que se trata de más de una clave pública (pero con la
Misma identidad, fechas válidas, y así sucesivamente). Debido a que la identidad en el
Dos certificados es el mismo, no hay probablemente del mundo real
Ejemplos en los que un ataque de ese tipo tendría la ventaja de cualquier atacante.
En el mejor, alguien podría afirmar que la tercera parte de confianza hizo una
Error mediante la emisión de un certificado con la misma identidad y de serie
Número a partir de dos claves públicas. Esto es, en efecto,
Rebuscadas.
Es muy importante señalar que la colisión sólo afectan a los ataques
Partes de los certificados que no tienen ninguna información legible para humanos en
Ellos, como las claves públicas. Un ataque que implica conseguir un
Certificado con una identidad legible por humanos y hacer que
Certificado de utilidad para una segunda lectura de la identidad humana exigiría
Más esfuerzo que un simple ataque de colisión.
5,1. Reducir el Riesgo de Hash-Based Ataques a los certificados PKIX
Si un tercero de confianza que emite certificados PKIX quiere evitar
El ataque descrito anteriormente, se puede prevenir el ataque haciendo
Otras partes de firmado el certificado azar lo suficiente como para eliminar cualquier
Ventaja obtenida por el ataque. Ideas que se han sugerido
Incluyen:
O haciendo parte del certificado de número de serie impredecible de la
Atacante
O la adición de un componente escogido de forma aleatoria a la identidad
O hacer la validez fechas impredecibles para el atacante por sesgado
Cada uno hacia adelante o hacia atrás
Cualquiera de estos mecanismos aumentaría el volumen de trabajo que el
Atacante tiene que hacer para engañar a los que el emisor del certificado en
La generación de un certificado de que es susceptible al ataque.
Hoffman & Schneier sobre la Información [Página 7]
RFC 4270 Ataques a Hashes Noviembre 2005
6. Ataques futuros y sus efectos
Existe un desacuerdo en la comunidad de seguridad acerca de qué hacer
Ahora. Incluso los dos autores de este documento de acuerdo sobre qué hacer
Ahora.
Uno de nosotros (Bruce) cree que todo el mundo debería empezar a migrar
SHA-256 [SHA-256] ahora, debido a las deficiencias que ya se han
Demostró tanto en MD5 y SHA-1. Hay un viejo refrán dentro
Los EE.UU. Agencia de Seguridad Nacional (NSA): "Los ataques siempre mejoran;
Nunca empeorar ". El curso de colisión son los ataques contra MD5
Fácil de hacer en un solo ordenador, la colisión de ataques contra SHA-1
Están en el extremo borde de la viabilidad de hoy, pero sólo con mejorar
Tiempo. Es preferible migrar a la nueva norma antes de hash
Hay un pánico, en lugar de después. Así como todos los emigrado de
SHA-0 a SHA-1 sobre la base de unos desconocidos descubrieron la vulnerabilidad dentro de
La NSA, tenemos que migrar de SHA-1 a SHA-256 sobre la base de la mayoría de estos
Los recientes ataques. SHA-256 tiene un hash de 256 bits de longitud. Esta duración se
Nos dan un mayor margen de seguridad en caso de los nuevos
Descubrió los ataques. Mientras tanto, nuevas investigaciones en el interior de la
Criptográfica comunidad en los próximos años debe a punto
Nuevas mejoras en el algoritmo de diseño, y potencialmente un
Aún más algoritmo de control seguro.
El otro de nosotros (Paul) cree que esto puede no ser prudente para dos
Razones. En primer lugar, la colisión ataques a los protocolos actuales no han
Se ha demostrado que tiene alguna discernible efectos del mundo real. Además,
Todavía no está claro qué algoritmo hash más fuerte será una buena opción
Para el largo plazo. El paso de un algoritmo a otro conduce a la
Inevitable falta de interoperabilidad y la confusión típica de crypto
Usuarios. (Por supuesto, si cualquier práctica que se formulen antes de los ataques
Existe consenso de la comunidad de las propiedades del sistema de cifrado basado en
Algoritmos hash, Paul iba a cambiar su opinión de que "pasemos a SHA-256
Ahora ".)
Ambos autores coinciden en que se debe trabajar para que todos Internet
Protocolos capaces de utilizar diferentes algoritmos hash con el hash más largo
Valores. Afortunadamente, la mayoría de los protocolos de hoy ya son capaces de
Este; los que no lo son es conveniente fijar en breve.
Los autores de este documento se sienten de manera similar para los nuevos protocolos
Desarrollados: Bruce piensa que deberían empezar a utilizar SHA-256 de la
Comienzo, y Paul piensa que deberían utilizar SHA-1, siempre y cuando el nuevo
Protocolos no son susceptibles a ataques de colisión. Cualquier nuevo protocolo
Deben tener la capacidad de cambiar todos sus algoritmos criptográficos,
No sólo su algoritmo de control.
Hoffman & Schneier sobre la Información [Página 8]
RFC 4270 Ataques a Hashes Noviembre 2005
7. Consideraciones de Seguridad
El documento analiza la seguridad en Internet.
La discusión en este documento se asume que la única ataques a hash
Algoritmos utilizados en protocolos de Internet, están los ataques de colisión. Algunos
Preimaging ataques importantes ya se han descubierto
[Preimaging-ataque], pero todavía no son prácticos. Si una práctica
Preimaging ataque es descubierto, que afectan a muchos drásticamente
Protocolos de Internet. En este caso, la "práctica", que podría ser
Ejecutado por un atacante en una significativa cantidad de tiempo para un
Significativa cantidad de dinero. Un ataque que preimaging costos billones
De dólares y lleva décadas a preimage un valor deseado o
Un mensaje no es práctica, que los gastos de unos cuantos miles de dólares
Y toma de pocas semanas podría ser muy práctica.
8. Referencias informativas
[MD5-ataque] X. Wang, D. Feng, X. Lai, y H. Yu,
"Las colisiones de las funciones hash MD4, MD5,
HAVAL-128 y RIPEMD ", de agosto de 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-más rápido] Vlastimil Klima, "La búsqueda de colisiones MD5 - una
Para un juguete Notebook ", de marzo de 2005,
<Http://cryptography.hyperlink.cz/
Md5/MD5_collisions.pdf>.
[PKIX-MD5-construcción] Arjen Lenstra y Benne de Weger, "Sobre la
Posibilidad de construir significativa hash
Colisiones de claves públicas ", de febrero de 2005,
<Http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / ddl-final.pdf>.
[Preimaging-ataque] y John Kelsey, Bruce Schneier, "Segunda
Preimages sobre n bits para Funciones Hash Mucho
Menos de 2 ^ n trabajo ", de noviembre de 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. y P. Jones, "Secure Hash EE.UU.
Algoritmo 1 () 3174,
De septiembre de 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., y D. Solo,
"Internet X.509 de la infraestructura de clave pública
Certificado y la lista de revocación de certificados
(CRL) Profile ", RFC 3280, de abril de 2002.
Hoffman & Schneier sobre la Información [Página 9]
RFC 4270 Ataques a Hashes Noviembre 2005
[SHA-1-ataque] Xiaoyun Wang, Yiqun Lisa Yin, y Hongbo Yu,
"Ataques a la colisión de búsqueda SHA1",
De febrero de 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal de Procesamiento de Información
Normas de publicación (FIPS PUB) 180-2,
Secure Hash Standard ", de agosto de 2002.
Hoffman & Schneier Informativo [Página 10]
RFC 4270 Ataques a Hashes Noviembre 2005
Apéndice A. Agradecimientos
Los autores desean agradecer a la comunidad IETF, en particular
Los activos en el SAAG lista de correo, por sus aportaciones. Estaríamos
También dar las gracias a Eric Rescorla para el primer material que entró en
La primera versión, y Arjen Lenstra y Benne de Weger para
Importantes observaciones sobre la primera versión de este documento.
De los autores Direcciones
Paul Hoffman
VPN Consorcio
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Schneier Informativo [Página 11]
RFC 4270 Ataques a Hashes Noviembre 2005
Completo declaración de los derechos de autor
Copyright (C) The Internet Society (2005).
Este documento está sujeto a los derechos, licencias y restricciones
BCP figura en el 78, y salvo lo dispuesto en él, los autores
Conservar todos sus derechos.
Este documento y la información contenida en este documento se proporcionan en una
"TAL CUAL" y LA Contribución, LA ORGANIZACIÓN HE / ELLA REPRESENTA
O con el patrocinio de (en su caso), la Internet y la sociedad de Internet
Grupo de tareas de ingeniería renuncia a toda garantía, expresa o implícita,
Incluyendo pero no limitado a ninguna garantía de que el uso de la
Información aquí contenida no vulnere cualquier derecho o cualquier implícita
Las garantías de comerciabilidad o aptitud para un propósito en particular.
De la Propiedad Intelectual
El IETF no toma posición respecto a la validez o el alcance de cualquier
Derechos de propiedad intelectual o de otros derechos que puedan ser reclamados a
Se refieren a la aplicación o uso de la tecnología descrita en
Este documento o la medida en que una licencia en virtud de tales derechos
Puede o no estar disponible, ni representa que se ha
Hecho ningún esfuerzo para identificar independiente de cualquiera de esos derechos. Información
Sobre los procedimientos con respecto a los derechos en los documentos RFC pueden ser
Encuentran en BCP 78 y BCP 79.
Copias de los derechos de propiedad intelectual revelaciones hechas a la Secretaría y cualquier IETF
Garantías de las licencias que se facilitará, o el resultado de un
Intento de obtener una licencia o permiso para el uso de
Tales derechos sobre la propiedad de los ejecutores y los usuarios de este
Especificación puede obtenerse de la IETF en línea en el repositorio de los derechos de propiedad intelectual
Http://www.ietf.org/ipr.
El IETF invita a alguna de las partes interesadas a que señalen a su atención cualquier
Derechos de autor, patentes o solicitudes de patentes, propiedad intelectual u otras
Derechos, que podría incluir la tecnología que pueden ser necesarias para aplicar
Esta norma. Por favor dirigirse a la información a la IETF en ietf -
Ipr@ietf.org.
Agradecimiento
La financiación de la función del Editor RFC es actualmente el
Internet Society.
Hoffman & Schneier Informativo [Página 12]
Petición de Comentarios: 4270 VPN Consorcio
Categoría: Informativo B. Schneier
Counterpane Internet Security
Noviembre 2005
Ataques a resúmenes criptográficos en protocolos de Internet
Condición de este memo
Este memorándum proporciona información para la comunidad de Internet. No
No especifica un estándar de Internet de ningún tipo. Distribución de este
Memo es ilimitada.
Aviso de Copyright
Copyright (C) The Internet Society (2005).
Resumen
Los recientes anuncios de las mejores de lo esperado en los ataques de colisión
Algoritmos hash populares han causado a algunas personas a la pregunta de si
Común de protocolos de Internet, hay que cambiar, y si es así, cómo. Este
Documento se resume el uso de hashes en muchos protocolos, discute
La forma en que la colisión afecta a los ataques y no afectan a los protocolos,
Muestra cómo frustrar ataques conocidos sobre los certificados digitales, y
Se analiza la orientación futura de los diseñadores de protocolo.
1. Introducción
En el verano de 2004, un equipo de investigadores reveló pruebas concretas de que
El algoritmo de hash MD5 es susceptible a ataques de colisión
[MD5-ataque]. A principios de 2005, el mismo equipo demostró una similar
Ataque contra una variante de la SHA-1 [RFC3174] algoritmo de control, con una
Predicción que la que normalmente se utiliza SHA-1 también sería susceptible
Con una gran cantidad de trabajo (pero a un nivel por debajo de lo que debería ser
Si SHA-1) [funcionado correctamente SHA-1-ataque]. También a principios de
2005, los investigadores mostraron una construcción de certificados PKIX
[RFC3280] que el uso de la firma MD5 [PKIX-MD5-construcción], y
Otro investigador mostró un método más rápido para encontrar colisiones MD5
(Ocho horas con una computadora de 1.6 GHz) [MD5-más rápido].
Debido a estos anuncios, ha habido una gran cantidad de
Debate por la criptografía de expertos, diseñadores de protocolo, y otros
Las personas interesadas acerca de lo que, en todo caso, debe hacerse sobre la base de la
Hoffman & Schneier sobre la Información [Página 1]
RFC 4270 Ataques a Hashes Noviembre 2005
Noticias. Por desgracia, algunas de estas discusiones se han basado en
Interpretaciones erróneas tanto de la noticia y sobre la forma de algoritmos hash
Se utilizan en común de protocolos de Internet.
Algoritmos hash son utilizadas por los criptógrafos en una variedad de seguridad
Protocolos, para una variedad de propósitos, en todos los niveles de Internet
Pila de protocolos. Se utilizan porque tienen dos garantías
Propiedades: una manera de ser libre y de colisión. (Hay más información acerca de
Estas propiedades en la siguiente sección, que son más fáciles de explicar en
Términos de ruptura.) Los ataques recientes han demostrado que la
Una de las propiedades de seguridad no es verdad. Si bien es cierto,
De lo posible, y a primera vista, incluso probable, que el roto
Seguridad de la propiedad no afectará a la seguridad general de muchos
Específicas de los protocolos de Internet, el enfoque conservador de seguridad es
Cambiar los algoritmos hash. El protocolo de la Internet a las necesidades de la comunidad
Migrar de manera ordenada fuera de la SHA-1 y MD5 - especialmente
MD5 - y hacia los algoritmos hash más seguro.
Este documento resume lo que actualmente se conoce acerca de hash
Algoritmos y los protocolos de Internet que los utilizan. También da
Asesoramiento sobre la manera de evitar los problemas que actualmente se conoce con MD5 y
SHA-1, y lo que hay que considerar si predicho los ataques de uno de ellos.
Un alto nivel de resumen de la situación actual es la siguiente:
Tanto o MD5 y SHA-1 se han encontrado recientemente los ataques contra ellos, el
Los ataques contra MD5 es mucho más grave que los ataques
Contra SHA-1.
O Los ataques contra MD5 son prácticos en cualquier ordenador moderno.
O Los ataques contra SHA-1 no son viables hoy en día con los ordenadores,
Pero si se mejora de los ataques son o Ley de Moore continúa
A la potencia de las computadoras más baratas.
Muchos común o protocolos de Internet, el uso hashes en formas que sean
No afectados por estos ataques.
O La mayoría de los afectados protocolos de uso de firmas digitales.
O Mejora de los algoritmos hash reducirá la susceptibilidad de estos
Ataques a un nivel aceptable para todos los usuarios.
2. Hash Algoritmos y ataques contra ellos
Un "perfecto" algoritmo de control tiene algunas propiedades básicas. El algoritmo
Convierte una parte de los datos (normalmente, un mensaje) de cualquier tamaño en una
Resultado de tamaño fijo. La longitud de la raíz se llama el "hash
Hoffman & Schneier sobre la Información [Página 2]
RFC 4270 Ataques a Hashes Noviembre 2005
Longitud ", y es a menudo señalados como" L ", el resultado de aplicar el hash
Algoritmo sobre un fragmento de los datos se denomina el "valor"
Para que los datos. Cualquier dos diferentes mensajes de cualquier tamaño deberían tener un
Extremadamente pequeña probabilidad de que tengan el mismo valor hash,
Independientemente de la forma en similares o diferentes son los mensajes.
Esta descripción nos lleva a dos resultados matemáticos. Encontrar un par
De los mensajes M1 y M2 que tengan el mismo valor hash es de 2 ^ (L / 2)
Intentos. Para cualquier razonable hash longitud, se trata de un imposible
Problema a resolver (libre de colisiones). Asimismo, en vista de un mensaje M1, la búsqueda de
M2 cualquier otro mensaje que tiene el mismo valor hash como M1 es de 2 ^ L
Intentos. Este es un problema aún más difícil de resolver (un trayecto).
Tenga en cuenta que esta es la descripción de un algoritmo hash perfecto, y si el
Algoritmo es menos que perfecta, un atacante puede gastar menos de la
Importe total de esfuerzo para encontrar dos mensajes con el mismo valor hash.
Hay dos categorías de los ataques.
Los ataques contra el "libre de colisión" de propiedad:
O Un "ataque colisión" permite a un atacante para encontrar dos mensajes M1
M2 y que tienen el mismo valor en menos de 2 ^ (L / 2)
Intentos.
Los ataques contra el "un solo sentido" la propiedad:
O Un "primer ataque preimage" permite a un atacante que sabe deseado
Valor control para encontrar un mensaje que se traduce en que el valor en menos
De 2 ^ L intentos.
O Una "segunda preimage ataque" permite a un atacante que tenga un deseado
M1 mensaje para encontrar otro mensaje M2 que tiene el mismo valor de hash
En menos de 2 ^ L intentos.
Los dos preimage ataques son muy similares. En una primera preimage
Ataque, usted sabe que un valor de hash, pero no el mensaje de que lo creó,
Y quiere descubrir cualquier mensaje con el valor de hash conocido, en
La segunda-preimage ataque, usted tiene un mensaje y quiere encontrar una
Segundo mensaje que tiene el mismo hash. Los ataques que puede encontrar una
Tipo de preimage puede encontrar el otro también.
Al analizar el uso de algoritmos hash en los protocolos, es
Importante distinguir cuál de las dos propiedades de los hashes son
Importante, sobre todo ahora que la colisión es libre de la propiedad
Cada vez más débiles de los algoritmos hash popular actualmente. Es
Sin duda, importante para determinar qué partes seleccionar el material
Hasheados. Además, como se indica por algunos de los principios de trabajo,
Hoffman & Schneier Informativo [Página 3]
RFC 4270 Ataques a Hashes Noviembre 2005
Particularmente [PKIX-MD5-construcción], que también es importante
Considerar la posibilidad de que parte del material puede predecir al comienzo de la
Hashed objeto.
2,1. Actualmente ataques conocidos
Todas las prácticas conocidas en la actualidad-o casi prácticos ataques a MD5
Y SHA-1 son los ataques de colisión. Esta es la suerte: significativo
De primera y segunda preimage ataques en un algoritmo de control sería mucho
Más devastadores en el mundo real de colisión de los ataques, como
Describe más adelante en este documento.
También es importante señalar que la actual colisión ataques
Requiere por lo menos uno de los dos mensajes que tienen una buena cantidad de
Bits en la estructura del mensaje. Esto significa que la búsqueda de dos
Mensajes que ambos tienen el mismo valor hash * y * son útiles en un
Ataque del mundo real es más difícil que acaba de encontrar dos mensajes
Con el mismo valor hash.
3. ¿Cómo protocolos de Internet, el uso de algoritmos hash
Algoritmos hash se utilizan en muchas maneras en la Internet. La mayoría de
Protocolos que utilizan algoritmos hash hacerlo de una manera que los hace
Inmune a los daños provocados por los ataques de colisión. Esto no es por accidente: buena
Protocolo diseñadores desarrollar sus protocolos para soportar el mayor número de
Cambios futuros en los criptografía como sea posible, incluyendo
Ataques a los algoritmos criptográficos.
Utilización de algoritmos hash son:
Repudiable o no las firmas digitales en los mensajes. No repudio es
Un servicio de seguridad que proporciona protección contra la falsa negación
De la participación en una comunicación. S / MIME y OpenPGP los mensajes
Remitentes a firmar el contenido de un mensaje que crean, y la
Receptor de ese mensaje puede verificar si la firma o no
Es, en realidad, asociado con el mensaje. Un mensaje se usa para
De no repudio, si el mensaje está firmado y el destinatario de la
Mensaje más tarde puede utilizar la firma para demostrar que el que firma
De hecho, se creó el mensaje.
O firmas digitales en los certificados de terceros de confianza.
A pesar de que este es similar al de "firmas digitales en los mensajes",
Propios certificados se utilizan en muchos otros protocolos para
Autenticación y gestión de claves.
O desafío-respuesta protocolos. Estos protocolos combinar un público
Gran número aleatorio con un valor de ayudar a ocultar el valor cuando se
Enviados a través de canales sin cifrar.
Hoffman & Schneier sobre la Información [Página 4]
RFC 4270 Ataques a Hashes Noviembre 2005
O compartida con la autenticación de mensajes secretos. Estas son similares a
Protocolos de desafío-respuesta, excepto que en lugar de utilizar público
Valores, el mensaje forma parte de un secreto compartido antes
Hashing.
Principales funciones o derivación. Estas funciones hacen uso repetido de
Algoritmos hash para mezclar los datos en una secuencia aleatoria para su uso en uno o
Más claves para un protocolo criptográfico.
O La mezcla de funciones. Estas funciones también hacer uso repetido de hash
Algoritmos a los datos en combinación aleatoria de las cadenas, para usos distintos
Claves criptográficas.
O Integridad de protección. Es común para comparar un valor hash que
Que se reciba fuera de la banda de un fichero con el valor hash del archivo
Después de que se recibe sobre un protocolo no garantizados, como FTP.
De los métodos anteriores, sólo los dos primeros se ven afectados por la colisión
Ataques, y aún así, sólo en circunstancias limitadas. Hasta el momento, es
Considera que, en general, de pregunta-respuesta protocolos no son
Susceptibles, porque el remitente es un secreto ya la autenticación
Almacenados por el receptor. En el mensaje de autenticación compartido
Secretos, el hecho de que el secreto es conocido por las dos partes es también
Considera razonable para prevenir cualquier ataque. Todos clave derivación
Funciones en protocolos IETF tomar al azar aportaciones de ambas partes, a fin de
El atacante no tiene manera de estructurar el mensaje hashed.
4. Hash colisión ataques y no repudio de las firmas digitales
La idea básica detrás de la colisión ataque de un algoritmo de control utilizado
En un protocolo de la firma digital-es que el atacante crea dos
Mensajes que tengan el mismo valor hash, una de las causas que se
Firmado, y luego utiliza dicha firma sobre el otro mensaje para algunos
Nefastos propósitos. Los detalles del ataque dependerá de la
Protocolo que se utiliza y lo que hace la víctima cuando se presenta con la
Mensaje firmado.
El ejemplo canónico es donde se crea dos mensajes, uno de los cuales
Dice "voy a pagar $ 10 para hacer este trabajo" y el otro de los que dice
"Estoy dispuesto a pagar 10.000 dólares para hacer este trabajo". Usted presenta a la primera
Mensaje a la víctima, hacer que se firme, hacer el trabajo, el sustituto
En el segundo mensaje firmado la autorización, la modificación del presente
Mensaje firmado (cuya firma todavía verifica), y la demanda
Mayor cantidad de dinero. Si la víctima se niega, que los llevan a
Corte y mostrar el segundo mensaje firmado.
Hoffman & Schneier sobre la Información [Página 5]
RFC 4270 Ataques a Hashes Noviembre 2005
La mayoría de no repudio los ataques se basan en una evaluación de la validez humanos
De la supuestamente firmado mensaje. En el caso de la colisión de hash -
Ataque, supuestamente firmado el mensaje de la firma es válida, pero también lo
Es la firma en el mensaje original. La víctima puede producir la
Mensaje original, muestran que él / ella lo firmó, y muestra que los dos
Valores hash son idénticos. La probabilidad de que esto ocurra por accidente
Es uno en 2 ^ L, que es infinitesimalmente pequeño para bien o MD5
SHA-1.
En otras palabras, para frustrar un hash de colisión en un ataque no
Repudio que un protocolo humanos es mediante un mensaje firmado como
Autorización, el firmante debe conservar una copia de la original
Mensaje de que él / ella firmó. Los mensajes que tienen otro tipo de mensajes con el
Mismo hash debe ser creado por la misma persona, y no pasan por
Accidente probable conocido bajo ninguna circunstancia. El hecho de que el
Dos mensajes tengan el mismo valor hash deben causa suficiente en duda
La mente de la persona a juzgar la validez de la firma a la causa
El ataque legal al fracaso (y posiblemente llevar fraude intencional
Cargos contra el atacante).
Colisión hash frustrar ataques automatizados en el no rechazo
Protocolos es potencialmente más difícil, porque es posible que no
Prestar suficiente atención los seres humanos ser capaces de argumentar acerca de lo que debería
Han ocurrido. Por ejemplo, en el intercambio electrónico de datos (EDI)
Aplicaciones, las acciones suelen ser tomado automáticamente después de
Autenticación de un mensaje firmado. La determinación de la práctica
Efectos de las colisiones hash requeriría una evaluación detallada de la
Protocolo.
5. Hash colisión ataques y certificados digitales de terceros de confianza
Partes
Los certificados digitales son un caso especial de las firmas digitales. En
General, no hay de no repudio ataque a terceros de confianza
Debido al hecho de que los certificados tienen formato específico. Digital
Certificados se utilizan a menudo en protocolos de Internet, para la gestión de claves
Y para autenticar una de las partes con la que te estás comunicando,
Posiblemente antes de conceder el acceso a los servicios de red o de la confianza
Parte con datos privados tales como información de tarjetas de crédito.
Por lo tanto, es importante que la concesión de las partes puede confiar en que la
Certificado identifica correctamente a la persona o sistema identificados por
El certificado. Si el atacante puede obtener un certificado de dos
Utilizando diferentes identidades sólo una clave pública, la víctima puede ser
Engañado a creer que una persona es otra persona.
Hoffman & Schneier Informativo [Página 6]
RFC 4270 Ataques a Hashes Noviembre 2005
La colisión ataque a los certificados PKIX descritas a principios de 2005
Confiado en la capacidad del atacante para crear dos diferentes públicos
Claves que causaría el cuerpo del certificado a tener el mismo
Valor control. Para este ataque al trabajo, el atacante debe poder
Para predecir el contenido y la estructura del certificado antes de que se
Emitidos, incluida la identidad que se utilizará, el número de serie
Que se incluirán en el certificado, y el inicio y parada
Fechas del período de validez del certificado.
El resultado eficaz de este ataque es que una persona que utiliza un único
Identidad pueden obtener un certificado digital que más de una clave pública, pero se
Capaz de fingir que se trata de más de una clave pública (pero con la
Misma identidad, fechas válidas, y así sucesivamente). Debido a que la identidad en el
Dos certificados es el mismo, no hay probablemente del mundo real
Ejemplos en los que un ataque de ese tipo tendría la ventaja de cualquier atacante.
En el mejor, alguien podría afirmar que la tercera parte de confianza hizo una
Error mediante la emisión de un certificado con la misma identidad y de serie
Número a partir de dos claves públicas. Esto es, en efecto,
Rebuscadas.
Es muy importante señalar que la colisión sólo afectan a los ataques
Partes de los certificados que no tienen ninguna información legible para humanos en
Ellos, como las claves públicas. Un ataque que implica conseguir un
Certificado con una identidad legible por humanos y hacer que
Certificado de utilidad para una segunda lectura de la identidad humana exigiría
Más esfuerzo que un simple ataque de colisión.
5,1. Reducir el Riesgo de Hash-Based Ataques a los certificados PKIX
Si un tercero de confianza que emite certificados PKIX quiere evitar
El ataque descrito anteriormente, se puede prevenir el ataque haciendo
Otras partes de firmado el certificado azar lo suficiente como para eliminar cualquier
Ventaja obtenida por el ataque. Ideas que se han sugerido
Incluyen:
O haciendo parte del certificado de número de serie impredecible de la
Atacante
O la adición de un componente escogido de forma aleatoria a la identidad
O hacer la validez fechas impredecibles para el atacante por sesgado
Cada uno hacia adelante o hacia atrás
Cualquiera de estos mecanismos aumentaría el volumen de trabajo que el
Atacante tiene que hacer para engañar a los que el emisor del certificado en
La generación de un certificado de que es susceptible al ataque.
Hoffman & Schneier sobre la Información [Página 7]
RFC 4270 Ataques a Hashes Noviembre 2005
6. Ataques futuros y sus efectos
Existe un desacuerdo en la comunidad de seguridad acerca de qué hacer
Ahora. Incluso los dos autores de este documento de acuerdo sobre qué hacer
Ahora.
Uno de nosotros (Bruce) cree que todo el mundo debería empezar a migrar
SHA-256 [SHA-256] ahora, debido a las deficiencias que ya se han
Demostró tanto en MD5 y SHA-1. Hay un viejo refrán dentro
Los EE.UU. Agencia de Seguridad Nacional (NSA): "Los ataques siempre mejoran;
Nunca empeorar ". El curso de colisión son los ataques contra MD5
Fácil de hacer en un solo ordenador, la colisión de ataques contra SHA-1
Están en el extremo borde de la viabilidad de hoy, pero sólo con mejorar
Tiempo. Es preferible migrar a la nueva norma antes de hash
Hay un pánico, en lugar de después. Así como todos los emigrado de
SHA-0 a SHA-1 sobre la base de unos desconocidos descubrieron la vulnerabilidad dentro de
La NSA, tenemos que migrar de SHA-1 a SHA-256 sobre la base de la mayoría de estos
Los recientes ataques. SHA-256 tiene un hash de 256 bits de longitud. Esta duración se
Nos dan un mayor margen de seguridad en caso de los nuevos
Descubrió los ataques. Mientras tanto, nuevas investigaciones en el interior de la
Criptográfica comunidad en los próximos años debe a punto
Nuevas mejoras en el algoritmo de diseño, y potencialmente un
Aún más algoritmo de control seguro.
El otro de nosotros (Paul) cree que esto puede no ser prudente para dos
Razones. En primer lugar, la colisión ataques a los protocolos actuales no han
Se ha demostrado que tiene alguna discernible efectos del mundo real. Además,
Todavía no está claro qué algoritmo hash más fuerte será una buena opción
Para el largo plazo. El paso de un algoritmo a otro conduce a la
Inevitable falta de interoperabilidad y la confusión típica de crypto
Usuarios. (Por supuesto, si cualquier práctica que se formulen antes de los ataques
Existe consenso de la comunidad de las propiedades del sistema de cifrado basado en
Algoritmos hash, Paul iba a cambiar su opinión de que "pasemos a SHA-256
Ahora ".)
Ambos autores coinciden en que se debe trabajar para que todos Internet
Protocolos capaces de utilizar diferentes algoritmos hash con el hash más largo
Valores. Afortunadamente, la mayoría de los protocolos de hoy ya son capaces de
Este; los que no lo son es conveniente fijar en breve.
Los autores de este documento se sienten de manera similar para los nuevos protocolos
Desarrollados: Bruce piensa que deberían empezar a utilizar SHA-256 de la
Comienzo, y Paul piensa que deberían utilizar SHA-1, siempre y cuando el nuevo
Protocolos no son susceptibles a ataques de colisión. Cualquier nuevo protocolo
Deben tener la capacidad de cambiar todos sus algoritmos criptográficos,
No sólo su algoritmo de control.
Hoffman & Schneier sobre la Información [Página 8]
RFC 4270 Ataques a Hashes Noviembre 2005
7. Consideraciones de Seguridad
El documento analiza la seguridad en Internet.
La discusión en este documento se asume que la única ataques a hash
Algoritmos utilizados en protocolos de Internet, están los ataques de colisión. Algunos
Preimaging ataques importantes ya se han descubierto
[Preimaging-ataque], pero todavía no son prácticos. Si una práctica
Preimaging ataque es descubierto, que afectan a muchos drásticamente
Protocolos de Internet. En este caso, la "práctica", que podría ser
Ejecutado por un atacante en una significativa cantidad de tiempo para un
Significativa cantidad de dinero. Un ataque que preimaging costos billones
De dólares y lleva décadas a preimage un valor deseado o
Un mensaje no es práctica, que los gastos de unos cuantos miles de dólares
Y toma de pocas semanas podría ser muy práctica.
8. Referencias informativas
[MD5-ataque] X. Wang, D. Feng, X. Lai, y H. Yu,
"Las colisiones de las funciones hash MD4, MD5,
HAVAL-128 y RIPEMD ", de agosto de 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-más rápido] Vlastimil Klima, "La búsqueda de colisiones MD5 - una
Para un juguete Notebook ", de marzo de 2005,
<Http://cryptography.hyperlink.cz/
Md5/MD5_collisions.pdf>.
[PKIX-MD5-construcción] Arjen Lenstra y Benne de Weger, "Sobre la
Posibilidad de construir significativa hash
Colisiones de claves públicas ", de febrero de 2005,
<Http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / ddl-final.pdf>.
[Preimaging-ataque] y John Kelsey, Bruce Schneier, "Segunda
Preimages sobre n bits para Funciones Hash Mucho
Menos de 2 ^ n trabajo ", de noviembre de 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. y P. Jones, "Secure Hash EE.UU.
Algoritmo 1 () 3174,
De septiembre de 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., y D. Solo,
"Internet X.509 de la infraestructura de clave pública
Certificado y la lista de revocación de certificados
(CRL) Profile ", RFC 3280, de abril de 2002.
Hoffman & Schneier sobre la Información [Página 9]
RFC 4270 Ataques a Hashes Noviembre 2005
[SHA-1-ataque] Xiaoyun Wang, Yiqun Lisa Yin, y Hongbo Yu,
"Ataques a la colisión de búsqueda SHA1",
De febrero de 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal de Procesamiento de Información
Normas de publicación (FIPS PUB) 180-2,
Secure Hash Standard ", de agosto de 2002.
Hoffman & Schneier Informativo [Página 10]
RFC 4270 Ataques a Hashes Noviembre 2005
Apéndice A. Agradecimientos
Los autores desean agradecer a la comunidad IETF, en particular
Los activos en el SAAG lista de correo, por sus aportaciones. Estaríamos
También dar las gracias a Eric Rescorla para el primer material que entró en
La primera versión, y Arjen Lenstra y Benne de Weger para
Importantes observaciones sobre la primera versión de este documento.
De los autores Direcciones
Paul Hoffman
VPN Consorcio
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Schneier Informativo [Página 11]
RFC 4270 Ataques a Hashes Noviembre 2005
Completo declaración de los derechos de autor
Copyright (C) The Internet Society (2005).
Este documento está sujeto a los derechos, licencias y restricciones
BCP figura en el 78, y salvo lo dispuesto en él, los autores
Conservar todos sus derechos.
Este documento y la información contenida en este documento se proporcionan en una
"TAL CUAL" y LA Contribución, LA ORGANIZACIÓN HE / ELLA REPRESENTA
O con el patrocinio de (en su caso), la Internet y la sociedad de Internet
Grupo de tareas de ingeniería renuncia a toda garantía, expresa o implícita,
Incluyendo pero no limitado a ninguna garantía de que el uso de la
Información aquí contenida no vulnere cualquier derecho o cualquier implícita
Las garantías de comerciabilidad o aptitud para un propósito en particular.
De la Propiedad Intelectual
El IETF no toma posición respecto a la validez o el alcance de cualquier
Derechos de propiedad intelectual o de otros derechos que puedan ser reclamados a
Se refieren a la aplicación o uso de la tecnología descrita en
Este documento o la medida en que una licencia en virtud de tales derechos
Puede o no estar disponible, ni representa que se ha
Hecho ningún esfuerzo para identificar independiente de cualquiera de esos derechos. Información
Sobre los procedimientos con respecto a los derechos en los documentos RFC pueden ser
Encuentran en BCP 78 y BCP 79.
Copias de los derechos de propiedad intelectual revelaciones hechas a la Secretaría y cualquier IETF
Garantías de las licencias que se facilitará, o el resultado de un
Intento de obtener una licencia o permiso para el uso de
Tales derechos sobre la propiedad de los ejecutores y los usuarios de este
Especificación puede obtenerse de la IETF en línea en el repositorio de los derechos de propiedad intelectual
Http://www.ietf.org/ipr.
El IETF invita a alguna de las partes interesadas a que señalen a su atención cualquier
Derechos de autor, patentes o solicitudes de patentes, propiedad intelectual u otras
Derechos, que podría incluir la tecnología que pueden ser necesarias para aplicar
Esta norma. Por favor dirigirse a la información a la IETF en ietf -
Ipr@ietf.org.
Agradecimiento
La financiación de la función del Editor RFC es actualmente el
Internet Society.
Hoffman & Schneier Informativo [Página 12]