Quelques RFCs
D'autres RFCs
Publicité
RFC 4270 Traduzione in italiano. |
 |
 |
 |
 |
 |
 |
Gruppo di lavoro di rete P. Hoffman
Request for Comments: 4270 VPN Consortium
Categoria: Informativo B. Schneier
Counterpane Internet Security
Novembre 2005
Attacchi a hash crittografici e protocolli Internet
Stato di questo memo
Questo memo fornisce informazioni alla comunità Internet. Lo fa
Non specificare uno standard di Internet di qualsiasi tipo. La distribuzione di questo
Memo è illimitata.
Copyright Notice
Copyright (C) La Internet Society (2005).
Abstract
I recenti annunci di migliore-che-prevede attacchi in collisione
Popolari algoritmi di hash hanno causato alcune persone a chiedersi se
Comuni protocolli Internet bisogno di essere cambiato e, in caso affermativo, in che modo. Questo
Documento riassume l'uso di hash in molti protocolli, discute
Come la collisione attentati colpiscono e non influenzano i protocolli,
Mostra come noto, per fermare gli attacchi contro i certificati digitali, e
Discute direzioni future per il protocollo designer.
1. Introduzione
In estate 2004, un team di ricercatori hanno dimostrato che la prova concreta
L'algoritmo di hash MD5 è suscettibile ad attacchi di collisione
[MD5-attacco]. Nei primi mesi del 2005, lo stesso team ha dimostrato di avere un simile
Attacco a una variante del SHA-1 [RFC3174] algoritmo di hash, con un
La previsione che il normalmente utilizzato SHA-1 potrebbe anche essere sensibili
Con una grande quantità di lavoro (ma a un livello inferiore a quello che dovrebbe essere
Se richiesto SHA-1) [funzionato correttamente SHA-1-attacco]. Anche nei primi mesi
2005, i ricercatori hanno mostrato una specifica costruzione di certificati PKIX
[RFC3280] che utilizzano per la firma MD5 [PKIX-MD5-costruzione], e
Un altro ricercatore ha mostrato un metodo più veloce per trovare collisioni MD5
(Otto ore su un computer da 1,6 GHz) [MD5-veloce].
A causa di questi annunci, vi è stato un grande
Discussione da esperti di crittografia, protocollo, designers, e gli altri
Su ciò che le persone in questione, se non altro, dovrebbe essere fatto sulla base della
Hoffman & Schneier Informational [Page 1]
RFC 4270 Attacchi a Hashes novembre 2005
News. Purtroppo, alcune di queste discussioni sono state basate su
Erronee interpretazioni di entrambe le notizie e su come gli algoritmi di hash
Sono utilizzati in comune protocolli Internet.
Algoritmi di hash sono utilizzati da cryptographers in una varietà di sicurezza
Protocolli, per una varietà di scopi, a tutti i livelli di Internet
Stack di protocollo. Vengono utilizzati perché hanno due sicurezza
Proprietà: un modo di essere e di collisione libera. (C'è di più su
Queste proprietà nella sezione successiva, che sono più facili da spiegare
Termini di rottura.) I recenti attentati hanno dimostrato che
Una di quelle proprietà di sicurezza non è vero. Mentre è certamente
Possibile, e ad un primo colpo d'occhio anche probabile, che il rotto
Di proprietà di sicurezza non pregiudica la sicurezza globale di molti
Specifici protocolli Internet, il conservatore sicurezza approccio è quello di
Cambiare gli algoritmi di hash. Il protocollo Internet, la comunità ha bisogno di
Migrare in maniera ordinata lontano da SHA-1 e MD5 - specialmente
MD5 - e verso gli algoritmi di hash più sicuro.
Questo documento riassume ciò che è attualmente noto circa hash
Algoritmi e protocolli Internet che li utilizzano. Dà anche
Consigli su come evitare i problemi attualmente conosciuto con MD5 e
SHA-1, e quello che prevede di considerare se gli attacchi diventano reali.
Un elevato livello di sintesi, la situazione attuale è:
Sia sulla MD5 e SHA-1 sono trovati di recente attacchi contro di loro,
Attacchi contro gli MD5 essere molto più grave degli attentati
Contro SHA-1.
La relativa agli attacchi contro i MD5 sono pratici su qualsiasi computer moderni.
La relativa agli attacchi contro i SHA-1 non sono realizzabili con i computer moderni,
Ma se saranno gli attacchi sono migliorati o la Legge di Moore continua
Potenza di calcolo per rendere meno costosa.
Molti comuni, che utilizzano protocolli Internet hash in modi che sono
Inalterate da questi attacchi.
Sulla maggior parte dei protocolli di utilizzare colpite firme digitali.
Migliore algoritmi di hash, che ridurrà la suscettibilità di questi
Attacchi a un livello accettabile per tutti gli utenti.
2. Gli algoritmi di hash e Attacchi a Them
Un "perfetto" algoritmo di hash ha poche proprietà fondamentali. L'algoritmo
Converte un pezzo di dati (generalmente, un messaggio), di qualsiasi dimensione, in un
Fixed-size risultato. La lunghezza del risultato è chiamato "hash
Hoffman & Schneier Informational [Pagina 2]
RFC 4270 Attacchi a Hashes novembre 2005
Lunghezza "ed è spesso indicata come" L ", il risultato di applicare l'hash
Algoritmo su un particolare pezzo di dati è chiamato il "valore di hash"
Che per i dati. Ogni due diversi messaggi di qualsiasi dimensione dovrebbe avere un
Eccessivamente piccole probabilità di avere lo stesso valore di hash,
Indipendentemente di come simili o diversi sono i messaggi.
Questa descrizione conduce a due risultati matematici. Trovare una coppia
Di messaggi M1 e M2 che hanno lo stesso valore di hash di 2 ^ (L / 2)
Tentativi. Per qualsiasi ragionevole hash di lunghezza, questa è un'impresa impossibile
Problema da risolvere (collisione gratuito). Inoltre, dato un messaggio M1, trovando
Qualsiasi altro messaggio M2, che ha lo stesso valore di hash come M1 prende 2 ^ L
Tentativi. Si tratta di un problema ancora più difficile da risolvere (solo andata).
Si noti che questa è la descrizione di un algoritmo di hash perfetto; se il
Algoritmo è meno perfetto, un utente malintenzionato può spendere meno del
Importo totale di sforzo per trovare due messaggi con lo stesso valore di hash.
Ci sono due categorie di attacchi.
Attacchi contro la "collisione-free" di proprietà:
Sulla A "collisione attacco", permette a un utente malintenzionato di trovare due messaggi M1
E M2 che hanno lo stesso valore di hash e meno di 2 ^ (L / 2)
Tentativi.
Attacchi contro il "senso unico" di proprietà:
Sulla A "-preimage primo attacco", permette a un attaccante che sa desiderata
Valore di hash per trovare un messaggio che si traduce in valore che in numero inferiore
Di 2 ^ L tentativi.
Sulla A ", secondo preimage-attacco", che permette a un attaccante ha un desiderato
M1 messaggio di trovare un altro messaggio M2, che ha lo stesso valore di hash
In meno di 2 ^ L tentativi.
I due preimage attacchi sono molto simili. In un primo preimage
Attacco, si conosce un valore di hash, ma non il messaggio che lo ha creato,
E volete scoprire il messaggio con il noto valore di hash;
La seconda-preimage attacco, si dispone di un messaggio e si vuole trovare una
Secondo messaggio, che ha lo stesso hash. Attacchi che possono trovare uno
Tipo di preimage possono spesso trovare l'altra pure.
Quando si analizza l'utilizzo di protocolli e algoritmi di hash, è
Importante distinguere quale delle due proprietà sono di hash
Importante, in particolare ora che la collisione è privo di proprietà
Diventando più debole per attualmente popolari algoritmi di hash. E '
Certamente importante per determinare quali parti selezionare il materiale
Essere hashed. Inoltre, come dimostrato da alcuni dei primi lavori,
Hoffman & Schneier Informational [Pagina 3]
RFC 4270 Attacchi a Hashes novembre 2005
In particolare [PKIX-MD5-costruzione], è anche importante
Considerare che parte può predire il materiale all'inizio del
Hashed oggetto.
2,1. Attualmente noti attacchi
Tutte le pratiche attualmente conosciuta o quasi-pratico attacchi MD5
E SHA-1 sono collisione attacchi. Questo è fortunata: significativo
Prima e seconda preimage attacchi su un algoritmo di hash sarebbe molto
Più devastanti nel mondo reale collisione di attacchi, come
Descritto più avanti in questo documento.
E 'anche importante notare che gli attuali attacchi collisione
Richiedono almeno uno dei due messaggi di avere una buona dose di
Struttura in bit del messaggio. Ciò significa che la ricerca di due
Messaggi che entrambi hanno lo stesso valore di hash * e * sono utili in un
Del mondo reale attacco è più difficile che trovare solo due messaggi
Con lo stesso valore di hash.
3. Come utilizzare protocolli Internet algoritmi di hash
Algoritmi di hash sono usati in molti modi su Internet. La maggior parte
Protocolli che utilizzano algoritmi di hash farlo in un modo che li rende
Immune ai danni da attacchi di collisione. Questo non è per caso: buona
Protocollo designer sviluppare le loro protocolli in grado di sopportare il maggior numero di
Futuri cambiamenti nella base di crittografia possibile, inclusi
Attacchi alla loro stessi algoritmi crittografici.
Utilizza algoritmi di hash per includere:
, Che non repudiable firme digitali sui messaggi. È la non-repudiation
Uno dei servizi di sicurezza che fornisce protezione contro la negazione falsa
Di coinvolgimento e di una comunicazione. S / MIME e OpenPGP di posta elettronica
Mittenti a firmare il contenuto di un messaggio che creano, e la
Che il destinatario del messaggio può verificare o meno la firma
In realtà è associato al messaggio. Un messaggio è utilizzato per
Non ripudio se il messaggio è firmato e il destinatario del
Messaggio può utilizzare in seguito alla firma di dimostrare che il firmatario
Infatti creato il messaggio.
In materia di firme digitali e certificati da terze parti fidate.
Anche se questo è simile a "firme digitali sui messaggi",
Certificati sono usati in molti altri protocolli per
L'autenticazione e la gestione delle chiavi.
- Challenge, che risposta protocolli. Questi protocolli di combinare un pubblico
Grande numero casuale con un valore di aiutare nascondere il valore quando si
Inviati tramite i canali in chiaro.
Hoffman & Schneier Informational [Pagina 4]
RFC 4270 Attacchi a Hashes novembre 2005
Messaggio di autenticazione, che condivise con i segreti. Queste sono simili a
Challenge-response protocolli, tranne per il fatto che invece di utilizzare pubblico
Valori, il messaggio è combinato con un segreto condiviso prima
Hashing.
Sulle principali funzioni di derivazione. Queste funzioni fanno uso ripetuto di
Algoritmi di hash per mescolare i dati in una stringa casuale per l'uso in uno o
Più chiavi di crittografia per un protocollo.
Sulle funzioni di miscelazione. Queste funzioni anche fare uso ripetuto di hash
Algoritmi per mescolare i dati in stringhe casuali, per usi diversi
Chiavi crittografiche.
Integrità relativa protezione. È comune, per confrontare un valore hash che
È ricevuto out-of-band, per un file con il valore di hash del file
Dopo averlo ricevuto più di uno non garantita come protocollo FTP.
Dei metodi sopra descritti, ma solo i primi due sono colpite da collisione
Attacchi, e anche allora, solo in circostanze limitate. Finora, è
Ritiene che, in generale, challenge-response protocolli non sono
Sensibili, perché il mittente è un segreto già autenticazione
Memorizzato dal beneficiario. Nel messaggio con l'autenticazione condivisa
Segreti, il fatto che il segreto è conosciuto per le due parti è anche
Credeva di prevenire ogni attacco ragionevole. Tutti i principali derivazione
Funzioni e protocolli IETF prendere casuale input da entrambe le parti, in modo
L'attaccante non ha alcun modo di strutturare il hashed messaggio.
4. Hash collisione attacchi e non ripudio delle firme digitali
L'idea di base dietro l'attacco a una collisione algoritmo di hash usata
In un protocollo di firma digitale-è che l'attaccante crea due
Messaggi che hanno lo stesso valore di hash, cause a uno di loro di essere
Firmato, e quindi che la firma utilizza il messaggio per alcuni altri
Nefasto scopo. La specificità della attacco dipendono dalla
Protocollo utilizzato e che cosa fa, quando la vittima ha presentato con il
Firmato messaggio.
L'esempio è la canonica dove si creano due messaggi, uno dei quali
Dice "Io pagare $ 10 per fare questo lavoro" e gli altri di cui dice
"Io pagherà $ 10.000 per fare questo lavoro". La presentazione della prima
Messaggio per la vittima di venire a firmare, di fare il lavoro, sostituto
Il secondo e il messaggio firmato l'autorizzazione, presentano la alterati
Firmato messaggio (la cui firma ancora verificato), e la domanda
Più elevata quantità di denaro. Se la vittima si rifiuta, si prende a
Giudice e mostra il secondo messaggio firmato.
Hoffman & Schneier Informational [Page 5]
RFC 4270 Attacchi a Hashes novembre 2005
La maggior parte dei non-repudiation attacchi contare su una valutazione della validità umana
Di presuntamente firmato il messaggio. In caso di collisione-l'hash
Attacco, presumibilmente il messaggio firmato la firma è valida, ma
È la firma sul messaggio originale. La vittima può produrre il
Messaggio originale, dimostrano che lui / lei firmato, e di dimostrare che le due
Valori hash sono identici. La possibilità di questo succede per caso
È uno e 2 ^ L, che è infinitamente piccolo per uno o MD5
SHA-1.
In altre parole, per contrastare un hash collisione in un attacco non -
Ripudio protocollo dove un uomo è firmato utilizzando un messaggio come
Autorizzazione, il firmatario deve conservare una copia dell'immagine originale
Messaggio di lui / lei firmato. Messaggi che hanno con gli altri messaggi
Stesso hash deve essere creato dalla stessa persona, e non accadrà da
In nessun incidente noto probabile circostanze. Il fatto che il
Due messaggi hanno lo stesso valore di hash deve causare abbastanza in dubbio
La mente della persona a giudicare la validità della firma a causa
L'attacco legale di fallire (ed eventualmente apportare le frodi intenzionali
Accuse contro l'attaccante).
Thwarting hash collisione attacchi automatizzati e non ripudio
Protocolli è potenzialmente più difficile, perché non ci possono essere
L'uomo che paga abbastanza attenzione per essere in grado di discutere su ciò che dovrebbe
Hanno accaduto. Per esempio, e l'interscambio di dati elettronici (EDI)
Applicazioni, le azioni intraprese sono di solito automaticamente dopo
L'autenticazione di un messaggio firmato. La determinazione della pratica
Effetti di hash collisioni richiederebbe una valutazione approfondita delle
Protocollo.
5. Hash collisione attacchi e certificati digitali da terzi fidati
Parti
Certificati digitali sono un caso speciale di firme digitali. In
Generale, non vi è la non-repudiation attacco a terze parti fidate
Dovuto al fatto che i certificati sono specifiche di formattazione. Digitale
Certificati sono spesso utilizzati in protocolli Internet per la gestione delle chiavi
E per l'autenticazione un partito con cui si sta comunicando,
Possibilmente prima di concedere l'accesso ai servizi di rete o il confidente
Partito con dati privati, quali informazioni sulla carta di credito.
È quindi importante che la concessione da parte di fiducia che il grado di
Certificato identifica correttamente la persona o identificati dal sistema
Il certificato. Se l'attaccante può ottenere un certificato per due
Diverse identità con una sola chiave pubblica, la vittima può essere
Ingannare a credere che una persona è di qualcun altro.
Hoffman & Schneier Informational [Pagina 6]
RFC 4270 Attacchi a Hashes novembre 2005
La collisione attacco su PKIX certificati descritti nei primi mesi del 2005
Si basava sulla capacità di creare l'attaccante di due diversi pubblici
Tasti che causerebbe il corpo del certificato di avere la stessa
Valore di hash. Per questo attacco al lavoro, l'attaccante deve essere in grado
Di prevedere il contenuto e la struttura del certificato prima che sia
Rilasciati, compresa l'identità, che verranno utilizzati, il numero di serie
Che saranno inclusi nel certificato, e l'inizio e la fermata
Date del periodo di validità del certificato.
L'effettivo risultato di questo attacco è che una persona utilizza un singolo
Identità può ottenere un certificato digitale più di uno a chiave pubblica, ma essere
In grado di fingere che è più di una diversa chiave pubblica (ma con la
Stessa identità, valido date, e così via). Perché l'identità e la
Due certificati è la stessa, ci sono probabilmente non del mondo reale
Esempi in cui un tale attacco l'utente malintenzionato potrebbe ottenere alcun vantaggio.
Nel migliore dei casi, qualcuno potrebbe sostenere che il terzo di fiducia fatto un
Errore mediante il rilascio di un certificato con la stessa identità e seriale
Numero basa su due diverse chiavi pubbliche. Questo è davvero
Finora inverosimile.
E 'molto importante notare che gli attacchi collisione soltanto influire sul
Parti di certificati che non hanno alcuna informazione leggibile umano e
Essi, come ad esempio le chiavi pubbliche. Un attacco che coinvolge ottenere un
Certificato con una identità umana e leggibile che fare
Certificato utile per la seconda human-readable identità richiederebbe
Più di un semplice sforzo di collisione attacco.
5,1. Ridurre il Rischio di Hash-Attacchi Basato su PKIX Certificati
Se un terzo di fiducia, che le questioni PKIX certificati vuole evitare
L'attacco descritto sopra, si può prevenire l'attacco, rendendo
Firmato altre parti del certificato casuale sufficiente ad eliminare qualsiasi
Il vantaggio acquisito da attacco. Idee che sono state suggerite
Includono:
, Che facendo parte del numero di serie del certificato imprevedibili per la
Attaccante
, Che l'aggiunta di un componente a scelta casualmente l'identità
, Che rendendo la validità date imprevedibili per l'attaccante da fuorviando
Ciascuno in avanti o indietro
Uno di questi meccanismi farebbe aumentare la quantità di lavoro che i
Attaccante deve fare per ingannare l'emittente del certificato in
La generazione di un certificato che è suscettibile di attacco.
Hoffman & Schneier Informational [Page 7]
RFC 4270 Attacchi a Hashes novembre 2005
6. Futuri attacchi ei loro effetti
C'è un disaccordo nella comunità di sicurezza su cosa fare
Ora. Anche i due autori di questo documento in disaccordo su cosa fare
Ora.
Uno di noi (Bruce) ritiene che tutti dovrebbero iniziare a migrare
SHA-256 [SHA-256] adesso, a causa delle carenze che sono già stati
Dimostrato sia MD5 e SHA-1. C'è un vecchio detto all'interno
La US National Security Agency (NSA): "Gli attacchi sempre meglio;
Non hanno mai peggiorare. "L'attuale collisione attacchi contro gli MD5 sono
Fatto facilmente su di un singolo computer; la collisione attacchi contro SHA-1
Finora sono a bordo di fattibilità oggi, ma non farà che migliorare con
Tempo. È preferibile per la migrazione al nuovo standard prima di hash
Vi è un panico, invece di dopo. Proprio come noi tutti migrati da
SHA-0 per SHA-1 sulla base di alcuni sconosciuti vulnerabilità scoperte all'interno
La NSA, abbiamo bisogno di migrare da SHA-1 e SHA-256 basata su questi la maggior parte
Recenti attentati. SHA-256 dispone di un hash a 256-bit di lunghezza. Questa lunghezza
Darci un margine di sicurezza molto più grande, in caso di nuovo
Scoperto attacchi. Nel frattempo, ulteriori ricerche all'interno del
Crittografiche comunità nel corso dei prossimi anni dovrebbe puntare
Ulteriori miglioramenti nel design algoritmo di hash, e potenzialmente uno
Ancora più sicuro algoritmo di hash.
Gli altri di noi (Paolo), ritiene che questa non può essere saggio per due
Ragioni. In primo luogo, la collisione attacchi sugli attuali protocolli non hanno
È stato dimostrato che hanno alcun mondo reale effetti. Inoltre, è
Non è ancora chiaro quale algoritmo di hash più forte sarà una buona scelta
Per il lungo termine. Si spostano da uno ad un altro algoritmo conduce a
Inevitabile mancanza di interoperabilità e di confusione per i tipici crypto
Gli utenti. (Naturalmente, se del caso pratico attacchi sono formulate prima
Non vi è il consenso della comunità le proprietà del algoritmo basato
Algoritmi di hash, Paolo avrebbe cambiato la sua opinione a "passare a SHA-256
Ora ".)
Entrambi gli autori concordano sul fatto che il lavoro deve essere fatto per rendere tutti i soggetti di Internet
Protocolli in grado di utilizzare diversi algoritmi di hash con più di hash
Valori. Fortunatamente, la maggior parte dei protocolli già oggi sono in grado di
Questo; coloro che non sono dovrebbe essere risolto al più presto.
Gli autori di questo documento si sentono allo stesso modo sia per i nuovi protocolli
Sviluppato: Bruce pensa che dovrebbero iniziare a usare SHA-256 da
Inizio, e Paolo pensa che si dovrebbe usare SHA-1, fintantoché il nuovo
Protocolli non sono suscettibili di collisione attacchi. Qualsiasi nuovo protocollo
Deve avere la capacità di cambiare tutti i suoi algoritmi di crittografia,
Non solo il suo algoritmo di hash.
Hoffman & Schneier Informational [Page 8]
RFC 4270 Attacchi a Hashes novembre 2005
7. Considerazioni di sicurezza
L'intero documento discute di sicurezza su Internet.
La discussione in questo documento assume che il solo attacchi di hash
Algoritmi utilizzati in protocolli Internet sono collisione attacchi. Alcune
Preimaging attacchi significativi sono già stati scoperti
[Preimaging-attacco], ma non sono ancora pratico. Se un pratico
Preimaging attacco è scoperto, sarebbe drasticamente influenzare molti
Protocolli Internet. In questo caso, "pratico", che potrebbe essere
Eseguito da un utente malintenzionato in una significativa quantità di tempo per un
Significative quantità di denaro. Un attacco che i costi preimaging trilioni
Di dollari e impiega decenni a preimage uno desiderato valore di hash o
Un messaggio non è pratico; uno che costa poche migliaia di dollari
E prende un paio di settimane potrebbe essere molto pratico.
8. Riferimenti informativi
[MD5-attacco] X. Wang, D. Feng, X. Lai, e H. Yu,
"Funzioni Hash per gli abbordi MD4, MD5,
HAVAL-128 e RIPEMD ", agosto 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-veloce] Vlastimil Klima, "Trovare MD5 abbordi --
Per un giocattolo Blocco Note ", marzo 2005,
<Http://cryptography.hyperlink.cz/
Md5/MD5_collisions.pdf>.
[PKIX-MD5-costruzione] Arjen Lenstra e Benne de Weger, "Sulla
Possibilità di costruire significative hash
Collisioni per chiavi pubbliche ", febbraio 2005,
<Http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / ddl-final.pdf>.
[Preimaging-attacco] John Kelsey e Bruce Schneier, "Seconda
Preimages su n-bit per la Gran Funzioni Hash
Meno di 2 ^ n lavoro ", novembre 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. e P. Jones, "US Secure Hash
Algorithm 1 () 3174,
Settembre 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., e D. Solo,
"Internet X.509 Public Key Infrastructure
Certificato e Certificate revocation list
(CRL) Profile ", RFC 3280, aprile 2002.
Hoffman & Schneier Informational [Page 9]
RFC 4270 Attacchi a Hashes novembre 2005
[SHA-1-attacco] Xiaoyun Wang, Yiqun Lisa Yin e Hongbo Yu,
"Collision Search Attacks on SHA1",
Febbraio 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal Information Processing
Standards Publication (FIPS PUB) 180-2,
Secure Hash Standard ", agosto 2002.
Hoffman & Schneier Informational [Page 10]
RFC 4270 Attacchi a Hashes novembre 2005
Appendice A. Ringraziamenti
Gli autori desiderano ringraziare la comunità IETF, in particolare
Coloro che sono attivi sul SAAG mailing list, per il loro contributo. Saremmo
Anche ringraziare Eric Rescorla per l'inizio del materiale che è andato in
La prima versione, e Arjen Lenstra e Benne per de Weger
Significativi commenti sulla prima versione di questo documento.
Autori 'Indirizzi
Paul Hoffman
VPN Consortium
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Schneier Informational [Page 11]
RFC 4270 Attacchi a Hashes novembre 2005
Completo Copyright
Copyright (C) La Internet Society (2005).
Questo documento è soggetto ai diritti, licenze e restrizioni
Contenute in BCP 78, e fatto salvo quanto in essa enunciati, gli autori
Conservano tutti i loro diritti.
Questo documento e le informazioni contenute in questo documento sono forniti su un
"COSÌ COM'È", e 'CONTRIBUTOR, LA ORGANIZZAZIONE HE / ESSA RAPPRESENTA
O è sponsorizzato da (se del caso), la società internet e internet
Engineering task force declinano qualsiasi garanzia, esplicita o implicita,
Compresi, ma non limitatamente a qualsiasi tipo di garanzia che l'uso del
Informazioni qui contenute non violi eventuali diritti o di qualsiasi implicita
Le garanzie di commerciabilità o idoneità per un fine particolare.
Proprietà Intellettuale
L'IETF non prende posizione in merito alla validità e la portata di qualsiasi
Diritti di proprietà intellettuale o di altri diritti che potrebbero essere rivendicata a
Appartengono alla realizzazione o uso della tecnologia descritta in
Questo documento o la misura in cui qualsiasi licenza in base a tali diritti
Potrebbe o potrebbe non essere disponibile, e non rappresentano che ha
Fatto alcun sforzo indipendente di identificare tali diritti. Informazioni
Sulle procedure in materia di diritti nella RFC documenti possono essere
Trovato in BCP 78 e BCP 79.
Copie dei diritti di proprietà intellettuale divulgazioni fatte al Segretariato e qualsiasi IETF
Assicurazioni di licenze per essere messi a disposizione, o il risultato di una
Tentativo di ottenere una licenza o autorizzazione per l'uso di
Tali diritti di proprietà da esecutori o gli utenti di questo
Specificazione può essere ottenuta dalla IETF on-line dei diritti di proprietà intellettuale al repository
Http://www.ietf.org/ipr.
L'IETF invita alcuna parte interessata a portare alla sua attenzione qualsiasi
Diritti d'autore, brevetti o domande di brevetto, di proprietà o di altri
Diritti che possono coprire tecnologia che può essere richiesto per attuare
Questo standard. Si prega di indirizzo le informazioni per la IETF a ietf -
Ipr@ietf.org.
Avviso
Finanziamento per la RFC Editor funzione è attualmente previsto dal
Internet Society.
Hoffman & Schneier Informational [Page 12]
Request for Comments: 4270 VPN Consortium
Categoria: Informativo B. Schneier
Counterpane Internet Security
Novembre 2005
Attacchi a hash crittografici e protocolli Internet
Stato di questo memo
Questo memo fornisce informazioni alla comunità Internet. Lo fa
Non specificare uno standard di Internet di qualsiasi tipo. La distribuzione di questo
Memo è illimitata.
Copyright Notice
Copyright (C) La Internet Society (2005).
Abstract
I recenti annunci di migliore-che-prevede attacchi in collisione
Popolari algoritmi di hash hanno causato alcune persone a chiedersi se
Comuni protocolli Internet bisogno di essere cambiato e, in caso affermativo, in che modo. Questo
Documento riassume l'uso di hash in molti protocolli, discute
Come la collisione attentati colpiscono e non influenzano i protocolli,
Mostra come noto, per fermare gli attacchi contro i certificati digitali, e
Discute direzioni future per il protocollo designer.
1. Introduzione
In estate 2004, un team di ricercatori hanno dimostrato che la prova concreta
L'algoritmo di hash MD5 è suscettibile ad attacchi di collisione
[MD5-attacco]. Nei primi mesi del 2005, lo stesso team ha dimostrato di avere un simile
Attacco a una variante del SHA-1 [RFC3174] algoritmo di hash, con un
La previsione che il normalmente utilizzato SHA-1 potrebbe anche essere sensibili
Con una grande quantità di lavoro (ma a un livello inferiore a quello che dovrebbe essere
Se richiesto SHA-1) [funzionato correttamente SHA-1-attacco]. Anche nei primi mesi
2005, i ricercatori hanno mostrato una specifica costruzione di certificati PKIX
[RFC3280] che utilizzano per la firma MD5 [PKIX-MD5-costruzione], e
Un altro ricercatore ha mostrato un metodo più veloce per trovare collisioni MD5
(Otto ore su un computer da 1,6 GHz) [MD5-veloce].
A causa di questi annunci, vi è stato un grande
Discussione da esperti di crittografia, protocollo, designers, e gli altri
Su ciò che le persone in questione, se non altro, dovrebbe essere fatto sulla base della
Hoffman & Schneier Informational [Page 1]
RFC 4270 Attacchi a Hashes novembre 2005
News. Purtroppo, alcune di queste discussioni sono state basate su
Erronee interpretazioni di entrambe le notizie e su come gli algoritmi di hash
Sono utilizzati in comune protocolli Internet.
Algoritmi di hash sono utilizzati da cryptographers in una varietà di sicurezza
Protocolli, per una varietà di scopi, a tutti i livelli di Internet
Stack di protocollo. Vengono utilizzati perché hanno due sicurezza
Proprietà: un modo di essere e di collisione libera. (C'è di più su
Queste proprietà nella sezione successiva, che sono più facili da spiegare
Termini di rottura.) I recenti attentati hanno dimostrato che
Una di quelle proprietà di sicurezza non è vero. Mentre è certamente
Possibile, e ad un primo colpo d'occhio anche probabile, che il rotto
Di proprietà di sicurezza non pregiudica la sicurezza globale di molti
Specifici protocolli Internet, il conservatore sicurezza approccio è quello di
Cambiare gli algoritmi di hash. Il protocollo Internet, la comunità ha bisogno di
Migrare in maniera ordinata lontano da SHA-1 e MD5 - specialmente
MD5 - e verso gli algoritmi di hash più sicuro.
Questo documento riassume ciò che è attualmente noto circa hash
Algoritmi e protocolli Internet che li utilizzano. Dà anche
Consigli su come evitare i problemi attualmente conosciuto con MD5 e
SHA-1, e quello che prevede di considerare se gli attacchi diventano reali.
Un elevato livello di sintesi, la situazione attuale è:
Sia sulla MD5 e SHA-1 sono trovati di recente attacchi contro di loro,
Attacchi contro gli MD5 essere molto più grave degli attentati
Contro SHA-1.
La relativa agli attacchi contro i MD5 sono pratici su qualsiasi computer moderni.
La relativa agli attacchi contro i SHA-1 non sono realizzabili con i computer moderni,
Ma se saranno gli attacchi sono migliorati o la Legge di Moore continua
Potenza di calcolo per rendere meno costosa.
Molti comuni, che utilizzano protocolli Internet hash in modi che sono
Inalterate da questi attacchi.
Sulla maggior parte dei protocolli di utilizzare colpite firme digitali.
Migliore algoritmi di hash, che ridurrà la suscettibilità di questi
Attacchi a un livello accettabile per tutti gli utenti.
2. Gli algoritmi di hash e Attacchi a Them
Un "perfetto" algoritmo di hash ha poche proprietà fondamentali. L'algoritmo
Converte un pezzo di dati (generalmente, un messaggio), di qualsiasi dimensione, in un
Fixed-size risultato. La lunghezza del risultato è chiamato "hash
Hoffman & Schneier Informational [Pagina 2]
RFC 4270 Attacchi a Hashes novembre 2005
Lunghezza "ed è spesso indicata come" L ", il risultato di applicare l'hash
Algoritmo su un particolare pezzo di dati è chiamato il "valore di hash"
Che per i dati. Ogni due diversi messaggi di qualsiasi dimensione dovrebbe avere un
Eccessivamente piccole probabilità di avere lo stesso valore di hash,
Indipendentemente di come simili o diversi sono i messaggi.
Questa descrizione conduce a due risultati matematici. Trovare una coppia
Di messaggi M1 e M2 che hanno lo stesso valore di hash di 2 ^ (L / 2)
Tentativi. Per qualsiasi ragionevole hash di lunghezza, questa è un'impresa impossibile
Problema da risolvere (collisione gratuito). Inoltre, dato un messaggio M1, trovando
Qualsiasi altro messaggio M2, che ha lo stesso valore di hash come M1 prende 2 ^ L
Tentativi. Si tratta di un problema ancora più difficile da risolvere (solo andata).
Si noti che questa è la descrizione di un algoritmo di hash perfetto; se il
Algoritmo è meno perfetto, un utente malintenzionato può spendere meno del
Importo totale di sforzo per trovare due messaggi con lo stesso valore di hash.
Ci sono due categorie di attacchi.
Attacchi contro la "collisione-free" di proprietà:
Sulla A "collisione attacco", permette a un utente malintenzionato di trovare due messaggi M1
E M2 che hanno lo stesso valore di hash e meno di 2 ^ (L / 2)
Tentativi.
Attacchi contro il "senso unico" di proprietà:
Sulla A "-preimage primo attacco", permette a un attaccante che sa desiderata
Valore di hash per trovare un messaggio che si traduce in valore che in numero inferiore
Di 2 ^ L tentativi.
Sulla A ", secondo preimage-attacco", che permette a un attaccante ha un desiderato
M1 messaggio di trovare un altro messaggio M2, che ha lo stesso valore di hash
In meno di 2 ^ L tentativi.
I due preimage attacchi sono molto simili. In un primo preimage
Attacco, si conosce un valore di hash, ma non il messaggio che lo ha creato,
E volete scoprire il messaggio con il noto valore di hash;
La seconda-preimage attacco, si dispone di un messaggio e si vuole trovare una
Secondo messaggio, che ha lo stesso hash. Attacchi che possono trovare uno
Tipo di preimage possono spesso trovare l'altra pure.
Quando si analizza l'utilizzo di protocolli e algoritmi di hash, è
Importante distinguere quale delle due proprietà sono di hash
Importante, in particolare ora che la collisione è privo di proprietà
Diventando più debole per attualmente popolari algoritmi di hash. E '
Certamente importante per determinare quali parti selezionare il materiale
Essere hashed. Inoltre, come dimostrato da alcuni dei primi lavori,
Hoffman & Schneier Informational [Pagina 3]
RFC 4270 Attacchi a Hashes novembre 2005
In particolare [PKIX-MD5-costruzione], è anche importante
Considerare che parte può predire il materiale all'inizio del
Hashed oggetto.
2,1. Attualmente noti attacchi
Tutte le pratiche attualmente conosciuta o quasi-pratico attacchi MD5
E SHA-1 sono collisione attacchi. Questo è fortunata: significativo
Prima e seconda preimage attacchi su un algoritmo di hash sarebbe molto
Più devastanti nel mondo reale collisione di attacchi, come
Descritto più avanti in questo documento.
E 'anche importante notare che gli attuali attacchi collisione
Richiedono almeno uno dei due messaggi di avere una buona dose di
Struttura in bit del messaggio. Ciò significa che la ricerca di due
Messaggi che entrambi hanno lo stesso valore di hash * e * sono utili in un
Del mondo reale attacco è più difficile che trovare solo due messaggi
Con lo stesso valore di hash.
3. Come utilizzare protocolli Internet algoritmi di hash
Algoritmi di hash sono usati in molti modi su Internet. La maggior parte
Protocolli che utilizzano algoritmi di hash farlo in un modo che li rende
Immune ai danni da attacchi di collisione. Questo non è per caso: buona
Protocollo designer sviluppare le loro protocolli in grado di sopportare il maggior numero di
Futuri cambiamenti nella base di crittografia possibile, inclusi
Attacchi alla loro stessi algoritmi crittografici.
Utilizza algoritmi di hash per includere:
, Che non repudiable firme digitali sui messaggi. È la non-repudiation
Uno dei servizi di sicurezza che fornisce protezione contro la negazione falsa
Di coinvolgimento e di una comunicazione. S / MIME e OpenPGP di posta elettronica
Mittenti a firmare il contenuto di un messaggio che creano, e la
Che il destinatario del messaggio può verificare o meno la firma
In realtà è associato al messaggio. Un messaggio è utilizzato per
Non ripudio se il messaggio è firmato e il destinatario del
Messaggio può utilizzare in seguito alla firma di dimostrare che il firmatario
Infatti creato il messaggio.
In materia di firme digitali e certificati da terze parti fidate.
Anche se questo è simile a "firme digitali sui messaggi",
Certificati sono usati in molti altri protocolli per
L'autenticazione e la gestione delle chiavi.
- Challenge, che risposta protocolli. Questi protocolli di combinare un pubblico
Grande numero casuale con un valore di aiutare nascondere il valore quando si
Inviati tramite i canali in chiaro.
Hoffman & Schneier Informational [Pagina 4]
RFC 4270 Attacchi a Hashes novembre 2005
Messaggio di autenticazione, che condivise con i segreti. Queste sono simili a
Challenge-response protocolli, tranne per il fatto che invece di utilizzare pubblico
Valori, il messaggio è combinato con un segreto condiviso prima
Hashing.
Sulle principali funzioni di derivazione. Queste funzioni fanno uso ripetuto di
Algoritmi di hash per mescolare i dati in una stringa casuale per l'uso in uno o
Più chiavi di crittografia per un protocollo.
Sulle funzioni di miscelazione. Queste funzioni anche fare uso ripetuto di hash
Algoritmi per mescolare i dati in stringhe casuali, per usi diversi
Chiavi crittografiche.
Integrità relativa protezione. È comune, per confrontare un valore hash che
È ricevuto out-of-band, per un file con il valore di hash del file
Dopo averlo ricevuto più di uno non garantita come protocollo FTP.
Dei metodi sopra descritti, ma solo i primi due sono colpite da collisione
Attacchi, e anche allora, solo in circostanze limitate. Finora, è
Ritiene che, in generale, challenge-response protocolli non sono
Sensibili, perché il mittente è un segreto già autenticazione
Memorizzato dal beneficiario. Nel messaggio con l'autenticazione condivisa
Segreti, il fatto che il segreto è conosciuto per le due parti è anche
Credeva di prevenire ogni attacco ragionevole. Tutti i principali derivazione
Funzioni e protocolli IETF prendere casuale input da entrambe le parti, in modo
L'attaccante non ha alcun modo di strutturare il hashed messaggio.
4. Hash collisione attacchi e non ripudio delle firme digitali
L'idea di base dietro l'attacco a una collisione algoritmo di hash usata
In un protocollo di firma digitale-è che l'attaccante crea due
Messaggi che hanno lo stesso valore di hash, cause a uno di loro di essere
Firmato, e quindi che la firma utilizza il messaggio per alcuni altri
Nefasto scopo. La specificità della attacco dipendono dalla
Protocollo utilizzato e che cosa fa, quando la vittima ha presentato con il
Firmato messaggio.
L'esempio è la canonica dove si creano due messaggi, uno dei quali
Dice "Io pagare $ 10 per fare questo lavoro" e gli altri di cui dice
"Io pagherà $ 10.000 per fare questo lavoro". La presentazione della prima
Messaggio per la vittima di venire a firmare, di fare il lavoro, sostituto
Il secondo e il messaggio firmato l'autorizzazione, presentano la alterati
Firmato messaggio (la cui firma ancora verificato), e la domanda
Più elevata quantità di denaro. Se la vittima si rifiuta, si prende a
Giudice e mostra il secondo messaggio firmato.
Hoffman & Schneier Informational [Page 5]
RFC 4270 Attacchi a Hashes novembre 2005
La maggior parte dei non-repudiation attacchi contare su una valutazione della validità umana
Di presuntamente firmato il messaggio. In caso di collisione-l'hash
Attacco, presumibilmente il messaggio firmato la firma è valida, ma
È la firma sul messaggio originale. La vittima può produrre il
Messaggio originale, dimostrano che lui / lei firmato, e di dimostrare che le due
Valori hash sono identici. La possibilità di questo succede per caso
È uno e 2 ^ L, che è infinitamente piccolo per uno o MD5
SHA-1.
In altre parole, per contrastare un hash collisione in un attacco non -
Ripudio protocollo dove un uomo è firmato utilizzando un messaggio come
Autorizzazione, il firmatario deve conservare una copia dell'immagine originale
Messaggio di lui / lei firmato. Messaggi che hanno con gli altri messaggi
Stesso hash deve essere creato dalla stessa persona, e non accadrà da
In nessun incidente noto probabile circostanze. Il fatto che il
Due messaggi hanno lo stesso valore di hash deve causare abbastanza in dubbio
La mente della persona a giudicare la validità della firma a causa
L'attacco legale di fallire (ed eventualmente apportare le frodi intenzionali
Accuse contro l'attaccante).
Thwarting hash collisione attacchi automatizzati e non ripudio
Protocolli è potenzialmente più difficile, perché non ci possono essere
L'uomo che paga abbastanza attenzione per essere in grado di discutere su ciò che dovrebbe
Hanno accaduto. Per esempio, e l'interscambio di dati elettronici (EDI)
Applicazioni, le azioni intraprese sono di solito automaticamente dopo
L'autenticazione di un messaggio firmato. La determinazione della pratica
Effetti di hash collisioni richiederebbe una valutazione approfondita delle
Protocollo.
5. Hash collisione attacchi e certificati digitali da terzi fidati
Parti
Certificati digitali sono un caso speciale di firme digitali. In
Generale, non vi è la non-repudiation attacco a terze parti fidate
Dovuto al fatto che i certificati sono specifiche di formattazione. Digitale
Certificati sono spesso utilizzati in protocolli Internet per la gestione delle chiavi
E per l'autenticazione un partito con cui si sta comunicando,
Possibilmente prima di concedere l'accesso ai servizi di rete o il confidente
Partito con dati privati, quali informazioni sulla carta di credito.
È quindi importante che la concessione da parte di fiducia che il grado di
Certificato identifica correttamente la persona o identificati dal sistema
Il certificato. Se l'attaccante può ottenere un certificato per due
Diverse identità con una sola chiave pubblica, la vittima può essere
Ingannare a credere che una persona è di qualcun altro.
Hoffman & Schneier Informational [Pagina 6]
RFC 4270 Attacchi a Hashes novembre 2005
La collisione attacco su PKIX certificati descritti nei primi mesi del 2005
Si basava sulla capacità di creare l'attaccante di due diversi pubblici
Tasti che causerebbe il corpo del certificato di avere la stessa
Valore di hash. Per questo attacco al lavoro, l'attaccante deve essere in grado
Di prevedere il contenuto e la struttura del certificato prima che sia
Rilasciati, compresa l'identità, che verranno utilizzati, il numero di serie
Che saranno inclusi nel certificato, e l'inizio e la fermata
Date del periodo di validità del certificato.
L'effettivo risultato di questo attacco è che una persona utilizza un singolo
Identità può ottenere un certificato digitale più di uno a chiave pubblica, ma essere
In grado di fingere che è più di una diversa chiave pubblica (ma con la
Stessa identità, valido date, e così via). Perché l'identità e la
Due certificati è la stessa, ci sono probabilmente non del mondo reale
Esempi in cui un tale attacco l'utente malintenzionato potrebbe ottenere alcun vantaggio.
Nel migliore dei casi, qualcuno potrebbe sostenere che il terzo di fiducia fatto un
Errore mediante il rilascio di un certificato con la stessa identità e seriale
Numero basa su due diverse chiavi pubbliche. Questo è davvero
Finora inverosimile.
E 'molto importante notare che gli attacchi collisione soltanto influire sul
Parti di certificati che non hanno alcuna informazione leggibile umano e
Essi, come ad esempio le chiavi pubbliche. Un attacco che coinvolge ottenere un
Certificato con una identità umana e leggibile che fare
Certificato utile per la seconda human-readable identità richiederebbe
Più di un semplice sforzo di collisione attacco.
5,1. Ridurre il Rischio di Hash-Attacchi Basato su PKIX Certificati
Se un terzo di fiducia, che le questioni PKIX certificati vuole evitare
L'attacco descritto sopra, si può prevenire l'attacco, rendendo
Firmato altre parti del certificato casuale sufficiente ad eliminare qualsiasi
Il vantaggio acquisito da attacco. Idee che sono state suggerite
Includono:
, Che facendo parte del numero di serie del certificato imprevedibili per la
Attaccante
, Che l'aggiunta di un componente a scelta casualmente l'identità
, Che rendendo la validità date imprevedibili per l'attaccante da fuorviando
Ciascuno in avanti o indietro
Uno di questi meccanismi farebbe aumentare la quantità di lavoro che i
Attaccante deve fare per ingannare l'emittente del certificato in
La generazione di un certificato che è suscettibile di attacco.
Hoffman & Schneier Informational [Page 7]
RFC 4270 Attacchi a Hashes novembre 2005
6. Futuri attacchi ei loro effetti
C'è un disaccordo nella comunità di sicurezza su cosa fare
Ora. Anche i due autori di questo documento in disaccordo su cosa fare
Ora.
Uno di noi (Bruce) ritiene che tutti dovrebbero iniziare a migrare
SHA-256 [SHA-256] adesso, a causa delle carenze che sono già stati
Dimostrato sia MD5 e SHA-1. C'è un vecchio detto all'interno
La US National Security Agency (NSA): "Gli attacchi sempre meglio;
Non hanno mai peggiorare. "L'attuale collisione attacchi contro gli MD5 sono
Fatto facilmente su di un singolo computer; la collisione attacchi contro SHA-1
Finora sono a bordo di fattibilità oggi, ma non farà che migliorare con
Tempo. È preferibile per la migrazione al nuovo standard prima di hash
Vi è un panico, invece di dopo. Proprio come noi tutti migrati da
SHA-0 per SHA-1 sulla base di alcuni sconosciuti vulnerabilità scoperte all'interno
La NSA, abbiamo bisogno di migrare da SHA-1 e SHA-256 basata su questi la maggior parte
Recenti attentati. SHA-256 dispone di un hash a 256-bit di lunghezza. Questa lunghezza
Darci un margine di sicurezza molto più grande, in caso di nuovo
Scoperto attacchi. Nel frattempo, ulteriori ricerche all'interno del
Crittografiche comunità nel corso dei prossimi anni dovrebbe puntare
Ulteriori miglioramenti nel design algoritmo di hash, e potenzialmente uno
Ancora più sicuro algoritmo di hash.
Gli altri di noi (Paolo), ritiene che questa non può essere saggio per due
Ragioni. In primo luogo, la collisione attacchi sugli attuali protocolli non hanno
È stato dimostrato che hanno alcun mondo reale effetti. Inoltre, è
Non è ancora chiaro quale algoritmo di hash più forte sarà una buona scelta
Per il lungo termine. Si spostano da uno ad un altro algoritmo conduce a
Inevitabile mancanza di interoperabilità e di confusione per i tipici crypto
Gli utenti. (Naturalmente, se del caso pratico attacchi sono formulate prima
Non vi è il consenso della comunità le proprietà del algoritmo basato
Algoritmi di hash, Paolo avrebbe cambiato la sua opinione a "passare a SHA-256
Ora ".)
Entrambi gli autori concordano sul fatto che il lavoro deve essere fatto per rendere tutti i soggetti di Internet
Protocolli in grado di utilizzare diversi algoritmi di hash con più di hash
Valori. Fortunatamente, la maggior parte dei protocolli già oggi sono in grado di
Questo; coloro che non sono dovrebbe essere risolto al più presto.
Gli autori di questo documento si sentono allo stesso modo sia per i nuovi protocolli
Sviluppato: Bruce pensa che dovrebbero iniziare a usare SHA-256 da
Inizio, e Paolo pensa che si dovrebbe usare SHA-1, fintantoché il nuovo
Protocolli non sono suscettibili di collisione attacchi. Qualsiasi nuovo protocollo
Deve avere la capacità di cambiare tutti i suoi algoritmi di crittografia,
Non solo il suo algoritmo di hash.
Hoffman & Schneier Informational [Page 8]
RFC 4270 Attacchi a Hashes novembre 2005
7. Considerazioni di sicurezza
L'intero documento discute di sicurezza su Internet.
La discussione in questo documento assume che il solo attacchi di hash
Algoritmi utilizzati in protocolli Internet sono collisione attacchi. Alcune
Preimaging attacchi significativi sono già stati scoperti
[Preimaging-attacco], ma non sono ancora pratico. Se un pratico
Preimaging attacco è scoperto, sarebbe drasticamente influenzare molti
Protocolli Internet. In questo caso, "pratico", che potrebbe essere
Eseguito da un utente malintenzionato in una significativa quantità di tempo per un
Significative quantità di denaro. Un attacco che i costi preimaging trilioni
Di dollari e impiega decenni a preimage uno desiderato valore di hash o
Un messaggio non è pratico; uno che costa poche migliaia di dollari
E prende un paio di settimane potrebbe essere molto pratico.
8. Riferimenti informativi
[MD5-attacco] X. Wang, D. Feng, X. Lai, e H. Yu,
"Funzioni Hash per gli abbordi MD4, MD5,
HAVAL-128 e RIPEMD ", agosto 2004,
<http://eprint.iacr.org/2004/199>.
[MD5-veloce] Vlastimil Klima, "Trovare MD5 abbordi --
Per un giocattolo Blocco Note ", marzo 2005,
<Http://cryptography.hyperlink.cz/
Md5/MD5_collisions.pdf>.
[PKIX-MD5-costruzione] Arjen Lenstra e Benne de Weger, "Sulla
Possibilità di costruire significative hash
Collisioni per chiavi pubbliche ", febbraio 2005,
<Http://www.win.tue.nl/ ~ bdeweger /
CollidingCertificates / ddl-final.pdf>.
[Preimaging-attacco] John Kelsey e Bruce Schneier, "Seconda
Preimages su n-bit per la Gran Funzioni Hash
Meno di 2 ^ n lavoro ", novembre 2004,
<http://eprint.iacr.org/2004/304>.
[RFC3174] Eastlake, D. e P. Jones, "US Secure Hash
Algorithm 1 () 3174,
Settembre 2001.
[RFC3280] Housley, R., Polk, W., Ford, W., e D. Solo,
"Internet X.509 Public Key Infrastructure
Certificato e Certificate revocation list
(CRL) Profile ", RFC 3280, aprile 2002.
Hoffman & Schneier Informational [Page 9]
RFC 4270 Attacchi a Hashes novembre 2005
[SHA-1-attacco] Xiaoyun Wang, Yiqun Lisa Yin e Hongbo Yu,
"Collision Search Attacks on SHA1",
Febbraio 2005,
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>.
[SHA-256] NIST, "Federal Information Processing
Standards Publication (FIPS PUB) 180-2,
Secure Hash Standard ", agosto 2002.
Hoffman & Schneier Informational [Page 10]
RFC 4270 Attacchi a Hashes novembre 2005
Appendice A. Ringraziamenti
Gli autori desiderano ringraziare la comunità IETF, in particolare
Coloro che sono attivi sul SAAG mailing list, per il loro contributo. Saremmo
Anche ringraziare Eric Rescorla per l'inizio del materiale che è andato in
La prima versione, e Arjen Lenstra e Benne per de Weger
Significativi commenti sulla prima versione di questo documento.
Autori 'Indirizzi
Paul Hoffman
VPN Consortium
EMail: paul.hoffman @ vpnc.org
Bruce Schneier
Counterpane Internet Security
EMail: schneier@counterpane.com
Hoffman & Schneier Informational [Page 11]
RFC 4270 Attacchi a Hashes novembre 2005
Completo Copyright
Copyright (C) La Internet Society (2005).
Questo documento è soggetto ai diritti, licenze e restrizioni
Contenute in BCP 78, e fatto salvo quanto in essa enunciati, gli autori
Conservano tutti i loro diritti.
Questo documento e le informazioni contenute in questo documento sono forniti su un
"COSÌ COM'È", e 'CONTRIBUTOR, LA ORGANIZZAZIONE HE / ESSA RAPPRESENTA
O è sponsorizzato da (se del caso), la società internet e internet
Engineering task force declinano qualsiasi garanzia, esplicita o implicita,
Compresi, ma non limitatamente a qualsiasi tipo di garanzia che l'uso del
Informazioni qui contenute non violi eventuali diritti o di qualsiasi implicita
Le garanzie di commerciabilità o idoneità per un fine particolare.
Proprietà Intellettuale
L'IETF non prende posizione in merito alla validità e la portata di qualsiasi
Diritti di proprietà intellettuale o di altri diritti che potrebbero essere rivendicata a
Appartengono alla realizzazione o uso della tecnologia descritta in
Questo documento o la misura in cui qualsiasi licenza in base a tali diritti
Potrebbe o potrebbe non essere disponibile, e non rappresentano che ha
Fatto alcun sforzo indipendente di identificare tali diritti. Informazioni
Sulle procedure in materia di diritti nella RFC documenti possono essere
Trovato in BCP 78 e BCP 79.
Copie dei diritti di proprietà intellettuale divulgazioni fatte al Segretariato e qualsiasi IETF
Assicurazioni di licenze per essere messi a disposizione, o il risultato di una
Tentativo di ottenere una licenza o autorizzazione per l'uso di
Tali diritti di proprietà da esecutori o gli utenti di questo
Specificazione può essere ottenuta dalla IETF on-line dei diritti di proprietà intellettuale al repository
Http://www.ietf.org/ipr.
L'IETF invita alcuna parte interessata a portare alla sua attenzione qualsiasi
Diritti d'autore, brevetti o domande di brevetto, di proprietà o di altri
Diritti che possono coprire tecnologia che può essere richiesto per attuare
Questo standard. Si prega di indirizzo le informazioni per la IETF a ietf -
Ipr@ietf.org.
Avviso
Finanziamento per la RFC Editor funzione è attualmente previsto dal
Internet Society.
Hoffman & Schneier Informational [Page 12]