NSA: Optimerad hårdvara för att söka kollisioner för hashfunktioner?

9/13/2013

Mycket talar så klart för att analysen i NSA Leak Leaves Crypto-Math Intact but Highlights Known Workarounds (Technology Review, MIT) med flera i huvudsak är korrekta rörande versions- och parameter-relaterade problem med krypterings-protokollen (ex. 1024 bitars RSA istället för lugnare långsammare både för krypterare och angripare 4096 bitar).


Tittande på dokumenten publicerade relaterat läckan och just närmare dom här frågan fick något - och trots att jag sökte se det mer konkret ej vad jag riktigt klarade att fånga vad som gav associationen - att oavsett det ligger något mer avsett där och för det relaterat algoritmerna för hur hash-funktionerna används.


Mer konkret upplevde jag att oavsett metoder avsedda är de inte tidsberoene krävande något aktivt laborerane.


Också mer konkret reflekterande hash-funktionerna är det i sig inte ett problem att kraftigt öka hastighet på angrepp genom att bygga optimerad hårdvara. Vidare gäller ju för hela familjen aktuella hash-funktioner (MD5, alla SHA o.s.v.) att de inte just har någon formell väg att parametrisera vilken skerhetsnivå de levererar utan det är en balansering mellan vilken hastighet de ger och vad pblicerat rörande snabbaste möjliga angrepp kända.


Bedömning av snabbaste möjliga angrepp från vad publicerat är emellertid potentiellt väldigt begränsat i det att analytiker och projekt som gjort arbeten här har föga liknande optimerad hårdvara för att göra stor analys sökande statistiska samband och korrelation.


Vi kan därför tänka oss att sökande kollisioner m.m. relaterat också tidiga varianter av hash-funktionerna i familjen via optimerad hårdvara (d.v.s. inte minst MD5 där det helt säkert kan för en mängd användningsområden löna sig oerhört från kända optimeringar såväl som dess inneboende begärnsningar) kan visa på vägar att söka tydligt snabbare angrepp än annars känt.


Jag upplever inte att jag vidrört denna familj av hash-funktioner eller övriga på år så frågan om det rörande sådant möjligen rimligt finns någon grupp av vägar att se korrelation praktiskt realistiskt som skalar linjärt med hur signaturen ökar linjärt i antal-bitar (snarare än som förhoppningen och kända angrepp gör) exponentiellt känns svårbedömt.


Inte heller trots för många år sedan också under många år även ganska protokoll-nära arbetande med SSL tyckte jag att jag egentligen mindes nog av standarden för att direkt spontant rada upp angreppen möjliga den vägen. Det kan tyckas som att vi har mer där för entiteter aktiva samtidigt med att sessionen sätts upp men mer diffusa minnen här är att bl.a. kommunikation av vilka symmetriska kryteringsnycklar som används också har ett beroende där angrepp sökande dessa bör "spegla" tror jag svårigheten att hitta kollisioner. Men inte 1 - 1 i beräkningskostnad och kanske om jag minns rätt att svårigheten kan reduceras beroende av om vi har korrelation i hur klienten söker generera slumptal.


Hash-funktionerna om aktuella här är ju dom verkligt generiska över protokoll oavsett egentligen vad. Men också om spekulerat här rörande möjliga linjära angrepp så känner jag inte till någon indikation om det. Så att kasta ut hela familjen givet hur trevligt snabba de alla är relativt deras betydelse i nära nog varje protokoll för säker kommunikation är nog knappast aktuellt. Särskilt inte som jag inte kan påstå mig känna till något egentligt bra alternativ.


Något annat - också osäker på vad - fick mig direkt efter jag läst det att tänka på angreppen publicerande ganska tidigt mot smart cards. Sökande runt en del i gamla böcker jag ej minns att jag tittat i på evigheter fick mig att hitta vad jag kom att tänka på i Smart card - Research and Application, Third International Conference, CARDIS'98, Proceedings.


Möjligen kanske samma sak som relaterat hashfunktionerna. Kanske något som skapade association till metoder att se korrelation möjligt i hårdvara snabbare såväl som en ganska snabb metod i sig.

0 kommentarer

Kommentera