• No results found

Cover Page The handle

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Cover Page The handle"

Copied!
3
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 3 pagina )

Hele tekst

(1)

Cover Page

The handle http://hdl.handle.net/1887/19093 holds various files of this Leiden University dissertation.

Author: Stevens, Marc Martinus Jacobus

Title: Attacks on hash functions and applications Issue Date: 2012-06-19

(2)

243

Nederlandse samenvatting

Cryptografische hashfuncties, of simpelweg hashfuncties, zijn een van de belangrijkste bouwstenen binnen de cryptografie. Een hashfunctie is een algoritme dat voor elk willekeurig bericht een korte hash-waarde van een vast aantal bits (bv. 256 bits) berekent. Zulke hash-waarden worden gebruikt als een soort van vingerafdruk om het originele bericht mee te identificeren. Een belangrijke toepassing van hashfuncties is in digitale handtekeningen, waardoor documenten en software ondertekend kunnen worden en digitale communicatie beveiligd wordt.

Een belangrijke veiligheidseis is dat het praktisch onmogelijk moet zijn om collisi- ons (twee berichten met dezelfde hash-waarde) te vinden. Een hashfunctie is gebroken wanneer er een efficiëntere aanval om collisions te vinden bestaat dan de generieke aanval gebaseerd op de birthday paradox.

Rond 2005 hebben Wang en coauteurs MD5 en SHA-1, twee belangrijke interna- tionale cryptografische hashfunctie standaarden, gebroken met zogenaamde identical- prefix collision aanvallen. Niettemin, was de software industrie initieel sceptisch over de gevaren in de praktijk van deze eerste aanvallen op MD5 en SHA-1 omdat deze aanvallen technisch beperkt waren.

Dit proefschrift omhelst de volgende vijftal bijdragen op het gebied van de analyse van zwakheden van internationale cryptografische hashfunctie standaarden.

Ten eerste het verfijnen van de exacte differentiële analyse die ten grondslag ligt van bovenstaande collision aanvallen. En dan met name het introduceren van algorit- mische methoden voor het vinden van de benodigde zogenaamde differentiële paden voor een grote klasse van hashfuncties die MD5 en SHA-1 omhelst, met specifieke verbeteringen toegespitst op MD5 en SHA-1.

Ten tweede het construeren van efficiëntere en met name flexibelere aanvallen op MD5. In het bijzonder introduceren we de zogenaamde chosen-prefix collision aanval op MD5, waarin een grote technische beperking van identical-prefix collision aanvallen geëlimineerd wordt: namelijk de eis dat de twee botsende bestanden volledig identiek zijn tot aan de 128 bytes die gegenereerd worden in de identical-prefix collision aanval en die tot de botsing lijden. Chosen-prefix collision aanvallen staan daarmee significant meer praktische aanvallen toe op cryptografische systemen.

De derde bijdrage is dan ook het aantonen van het gevaar van collision aanvallen op huidige cryptografische systemen met het doel de industrie zodanig te informeren dat het tijdig en op gepaste wijze zwakke hashfuncties kan vervangen door veiligere hashfuncties. Hoewel destijds het gevaar van deze verbeterde en efficiëntere aanval- len door de industrie nog enigszins onderschat werd, hebben wij in 2009 bewezen dat MD5’s zwakheden wel degelijk een groot gevaar opleveren door een MD5-gebaseerde handtekening van een wereldwijd vertrouwde Certification Authority te gebruiken om zelf een vertrouwde Certification Authority te creëren. Met de geconstrueerde ver-

(3)

244

trouwde Certification Authority zouden we in principe – indien we deze niet bij voor- baat nietig hadden geconstrueerd – beveiligde digitale communicatie met beveiligde websites kunnen corrumperen op zodanige wijze dat webbrowsers de gecorrumpeerde digitale communicatie alsnog als veilig bestempelen ten overstaan van de gebruiker.

Ons beoogde doel hiermee werd snel behaald: MD5 werd een verboden hashfunctie voor Certification Authorities.

De vierde bijdrage is het introduceren van nieuwe exacte differentiële analytische methoden voor SHA-1 en het construeren van identical-prefix en chosen-prefix colli- sion aanvallen op SHA-1. Echter in tegenstelling tot MD5 zijn deze aanvallen niet praktisch uitvoerbaar vanwege de belemmerende hoge computationele kosten. Sinds de eerste theoretische aanval op SHA-1 door Xiaoyun Wang en coauteurs zijn er meer- dere efficiëntere aanvallen geclaimd. Echter de claims die later wel gesubstantieerd zijn, blijken niet volledig correct te zijn wat zelfs geleid heeft tot terugtrekking van een zekere publicatie. Ten einde de correctheid van onze aanvallen op SHA-1 aan te tonen, alsmede een beter begrip en verdere verbeteringen van onze aanvallen moge- lijk te maken, hebben wij als eerste ook de daadwerkelijke implementatie van onze aanvallen en onze analytische algoritmen gepubliceerd.

Voor een collision aanval zijn bepaalde vergelijkingen nodig die de zoekruimte voor een collision beperkt tot een specifieke ruimte waarin een bekende succeskans behaald kan worden, huidige methoden bepalen dit benodigde systeem van vergelijkingen en een schatting van de bijbehorende succeskans op basis van heuristieken. Onze aan- vallen op SHA-1 zijn gebaseerd op een nieuwe exacte analyse welke sterk leunt op computationele combinatoriek en die in tegenstelling tot huidige methoden de inter- actie tussen zogenaamde local collisions op een exacte en uitputtende manier kan analyseren. Met behulp van onze nieuwe analyse is het mogelijk om voor alle geldige systemen van vergelijkingen exact te bepalen wat de bijbehorende succeskans is en daarmee hét systeem van vergelijkingen te kiezen dat leidt tot de hoogste succeskans en tevens de meeste vrijheidsgraden toelaat.

De laatste bijdrage is het introduceren van een efficiënte methode die cryptogra- fische systemen kan beschermen tegen potentiële kwaadwillenden die gebruik maken van bovenstaande collision aanvallen. Hoewel zwakke hashfuncties zoals MD5 en SHA-1 dienen vervangen te worden door veiligere hashfuncties, lijken er een aantal praktische belemmeringen te zijn. Ten einde cryptografische systemen die gebruik maken van MD5 en/of SHA-1 veilig te houden tot aan die tijd dat MD5 en SHA-1 vervangen zijn, hebben wij een efficiënte methode geïntroduceerd die kan detecteren of dat bestanden en/of digitale communicatie met bekende collision aanvallen ge- construeerd zijn en daardoor het verder verwerken van boosaardige bestanden en/of digitale communicatie kan blokkeren.

Referenties

Download het nu ( PDF - 3 pagina - 81.77 KB )

GERELATEERDE DOCUMENTEN

Consultatiedocument SHA 2

Na het doorlopen van de openbare consultatie, wordt een duidelijk advies aan het Forum en College Standaardisatie opgeleverd over het wel of niet vervangen van MD5 door SHA 2 met

CS08-11-02D-Forumadvies-SHA-2

Ondanks het niet-verplichtende karakter van de lijst met gangbare standaarden, maakt opname wel expliciet dat niet (meer) voor MD5 gekozen zou moeten worden, maar voor het

Expertadvies md5 sha2

Bij een zwakheid in collision resistance van een hash algoritme wordt in het algemeen door experts dan ook afgeraden deze te gebruiken bij een

OS 20100127 melding MD5 en SHA

Indien er al een open standaard voor het beoogde toepassingsgebied is opgenomen op de lijst met open standaarden, is de aangemelde standaard interoperabel met de

Reacties consultatie SHA 2 2

 Annex 1B van Council Regulation (EEC) No 3821/85 of 20 December 1985, betreffende 

Reacties consultatie SHA 2

Bent u het eens met het advies om MD5 te vervangen door SHA-2 op de lijst met gangbare standaarden. [pagina 5 van

FS-20110614.05D-memo-SHA-2

Door het plaatsen van SHA-2 op de lijst met gangbare standaarden wordt, in de ogen van de lezer, het beeld opgeroepen dat het hier om een standaard gaat die algemeen in de

(1)Cookies Wat is een cookie? Wij maken op deze website gebruik van cookies

Via de browser kunt u de instellingen voor het plaatsen van cookies aanpassen, zodat u tijdens uw volgende bezoek aan de website van de NVMM geen cookies ontvangt of dat u een melding