För mycket länge sedan - cirka 1997 kanske gjorde jag bl.a. MD5 och GOST i Javascript (som på den tiden hade en del intressanta defekter i bitoperatorerna rörande randvärden) - vilket säger en del givet mycket praktiskt funktionellt för MD5 hur tilltalande snabb den är.
Särskilt mycket om någon egentlig form av bevisad säkerhet har vi inte i familjen då eller senare men givet deras betydelse har vi ändå en ganska bra bild av ungefär vad säkerheten kan ligga. Problemet får man där dock säga att "inflationen" i hashfunktioner av den här typen (såväl som numera kanske RSA) är brutal jämfört med alla år med upplevd och troligt praktiskt alldeles utmärkt (utanför ECB mode) säkerhet DES gav. Datorer och algoritmer för analys har rusat snabbt sista åren.
Jag noterade att certifikatet utfärdat så sent som nyligen i år i bild Eric Schmidt om NSA vilket förvånande mig lite från vad ungefär känt 2005 om problematik. Jämför vi utifrån aktuella nyhetstrender med NSA som en normalitet vi önskar uppnå i säkerhet gäller att vi börjar med:
- 160 bitars hash vars beräkningskostnad att söka kollisioner eller på annat sätt missbruka vi lämnar icke-normaliserad mot något.
- Birth-day paradox tar oss ner till n(280).
- Där är vi på samma antal bitar - ej riktigt rätt men ej heller helt fel att jämföra med blockchiffer opererande på 64-bitar när ungefär snabba med den generationer - Skipjack hade i symmetriskt krypteringsnyckel.
- Minns jag rätt från dom åren var hela poängen med Skipjack att du kontrollerar hela nyckeln med att 40 bitar av nyckeln är sparad innan på medium myndighet kan nå.
- 40-bitar är förvisso inte enormt arbete för någon nu - och görligt för väldigt många redan då också om det tar tid körande ex. på några Sparc4 - och publicerad 1998 (vilket egentligen inte säger något vilken hårdvara den redan kan ha funnits implementerad i ex. radio-förbindelser och liknande relaterat försvarslösningar kanske).
Vi har med andra ord en nedre lätt gräns och bästa gränsen för SHA-1. Och från det första mer signifikanta och realistiskt "indikerande" om möjligt har vi:
"In February 2005, an attack by Xiaoyun Wang, Yiqun Lisa Yin, and Hongbo Yu was announced.[15] The attacks can find collisions in the full version of SHA-1, requiring fewer than 269 operations. (A brute-force search would require 280 operations.)
The authors write: 'In particular, our analysis is built upon the original differential attack on SHA-0 [sic], the near collision attack on SHA-0, the multiblock collision techniques, as well as the message modification techniques used in the collision search attack on MD5. Breaking SHA-1 would not be possible without these powerful analytical techniques.'[16] The authors have presented a collision for 58-round SHA-1, found with 233 hash operations. The paper with the full attack description was published in August 2005 at the CRYPTO conference."
Från: Sha1 | Wikipedia
D.v.s. no-good och hur no-good beror på vad vi gör med det (kombinerande med gränszon på trygg bitlängd för RSA känns vådligt för något med permanent värde).
Jämför vi med hur jag tror mig minnas att Bitcoin gjorde kombinerar det en av SHA-generationerna med RIPEMD-160 bitar vilket troligt reducerar risken för optimerade angrepp som identifierade i vardera ganska tydligt. Men någon egentlig bevisad säkerhet finns ju knappast och kanske är den ökade säkerheten inte mer än själva-beräkningskostnaden som funktion av att ha förberäknade värden krävande mer utrymme.
Ska jag spekulera tror jag emellertid NSA som tänkt angripare antagligen föredrar kortare RSA-nycklar och möjligt inte heller att det mest effektiva är vad vi utgick från här. Det är som när man tappat något: ofta letar man där man tycker att det borde ligga. Och hittar man det inte letar man lite till medan mindre troligt dröjer längre tid innan man söker. Och med som jag tror tämligen korta RSA nycklar vanliga är det nog vad man helst söker först och främst :-) SHA-1 med 2048 är kanske idag på gränsen.
Förgiftad information
En alternativ metod till kryptering är ju annars att implicit försöka undervisa avlyssnande entitet ex. i utrikespolitik förklarande hur sådant som Merkel, Tyskland, bäst ska hanteras ("They all nazis - u didn't win the war to let her build up undetected. Check up on Fritz before it is to late.", "Bagdad filled with problems: at vacation I am sure I did see three tactical nukes."). Det kan vara förvånadsvärt effektivt.
Det går att göra på Johnny English också: Varje gång jag irriteras ordentligt på EU gäller det bara att uttrycka det rätt e-postande lite fram och tillbaka med lämpligt gratis konto i UK så löser det sig: "England - the wall against the uncivilised non-polite danger - Napoleon, Hitler - Today EU - once again fooling the english - is nothing but a big industry site building waste hoards of naval units." Räcker åtminstone till en möjlig folkomröstning om än inte ett nytt Napoleon-krig.
Beräkningskostnaden för att reducera sådana risker är svårare att enkelt kvantisiera.
Foto:
Kommentera