Безопасность криптографических хэш-функций

В криптографии криптографические хеш-функции можно разделить на две основные категории. В первую категорию входят те функции, конструкции которых основаны на математических задачах, и безопасность которых, таким образом, следует из строгих математических доказательств, теории сложности и формальной редукции . Эти функции называются доказуемо безопасными криптографическими хеш-функциями . Построить их очень сложно, и было приведено мало примеров. Их практическое использование ограничено.

Во второй категории находятся функции, которые основаны не на математических задачах, а на ad-hoc конструкциях, в которых биты сообщения смешиваются для получения хеша. Затем считается, что их трудно взломать, но никаких формальных доказательств не приводится. Почти все широко используемые хеш-функции находятся в этой категории. Некоторые из этих функций уже взломаны и больше не используются. См. Сводка по безопасности хеш-функций .

Типы безопасности хэш-функций

Как правило, базовую безопасность криптографических хеш-функций можно рассматривать с разных точек зрения: устойчивость к прообразу, устойчивость ко второму прообразу, устойчивость к коллизиям и псевдослучайность.

• Устойчивость к прообразу : при наличии хеша h должно быть сложно найти сообщение m такое, что h = hash( m ) . Эта концепция связана с концепцией односторонней функции . Функции, не обладающие этим свойством, уязвимы для атак прообраза .
• Устойчивость ко второму прообразу : при наличии входных данных m ₁ должно быть сложно найти другие входные данные m ₂ ≠ m ₁ такие, что hash( m ₁ ) = hash( m ₂ ) . Это свойство иногда называют слабой устойчивостью к коллизиям. Функции, у которых отсутствует это свойство, уязвимы для атак на второй прообраз.
• Устойчивость к коллизиям : должно быть сложно найти два разных сообщения m ₁ и m ₂ , таких что hash( m ₁ ) = hash( m ₂ ) . Такая пара называется (криптографической) коллизией хешей. Это свойство иногда называют сильной устойчивостью к коллизиям. Для этого требуется значение хеша как минимум вдвое больше, чем требуется для устойчивости к прообразу; в противном случае коллизии могут быть обнаружены атакой дня рождения .
• Псевдослучайность : должно быть сложно отличить генератор псевдослучайных чисел, основанный на хеш-функции, от настоящего генератора случайных чисел; например, он проходит обычные тесты на случайность .

Значениежесткий

Основной вопрос заключается в значении слова hard . Существует два подхода к ответу на этот вопрос. Первый — интуитивно-практический подход: « hard означает, что он почти наверняка находится вне досягаемости любого злоумышленника, которому необходимо помешать взломать систему до тех пор, пока безопасность системы считается важной». Второй подход — теоретический и основан на теории вычислительной сложности : если задача A является hard, то существует формальное снижение безопасности из задачи, которая широко считается неразрешимой за полиномиальное время , такой как целочисленная факторизация или задача дискретного логарифма .

Однако отсутствие алгоритма полиномиального времени не гарантирует автоматически, что система безопасна. Сложность проблемы также зависит от ее размера. Например, криптография с открытым ключом RSA (которая опирается на сложность факторизации целых чисел ) считается безопасной только с ключами длиной не менее 2048 бит, тогда как ключи для криптосистемы Эль-Гамаля (которая опирается на сложность задачи дискретного логарифма ) обычно находятся в диапазоне 256–512 бит.

Пароль кейс

Если набор входных данных для хеша относительно невелик или упорядочен по правдоподобию каким-либо образом, то поиск методом перебора может быть практичным, независимо от теоретической безопасности. Вероятность восстановления прообраза зависит от размера входного набора и скорости или стоимости вычисления хеш-функции. Распространенным примером является использование хэшей для хранения данных проверки паролей . Вместо того чтобы хранить открытый текст паролей пользователей, система контроля доступа обычно хранит хэш пароля. Когда человек запрашивает доступ, отправляемый им пароль хэшируется и сравнивается с сохраненным значением. Если сохраненные данные проверки украдены, то у вора будут только значения хэша, а не пароли. Однако большинство пользователей выбирают пароли предсказуемыми способами, и пароли часто достаточно короткие, чтобы можно было проверить все возможные комбинации, если используются быстрые хэши. ^[1] Для замедления поиска были созданы специальные хэши, называемые функциями вывода ключей . См. Взлом паролей .

Криптографические хэш-функции

Большинство хэш-функций построены на основе ad-hoc, где биты сообщения аккуратно перемешиваются для создания хеша. Различные побитовые операции (например, вращения), модульные сложения и функции сжатия используются в итеративном режиме для обеспечения высокой сложности и псевдослучайности вывода. Таким образом, безопасность очень трудно доказать, и доказательство обычно не делается. Всего несколько лет назад ^{[ когда? ]} было показано , что одна из самых популярных хэш-функций, SHA-1 , менее безопасна, чем предполагала ее длина: коллизии можно было найти всего за 2 ^{51 [2] тестов, а не за число 2 80} методом грубой силы .

Другими словами, большинство используемых в настоящее время хэш-функций не являются доказуемо устойчивыми к коллизиям. Эти хэши не основаны на чисто математических функциях. Такой подход обычно приводит к более эффективным хэш-функциям, но с риском того, что слабость такой функции в конечном итоге будет использована для поиска коллизий. Одним из известных случаев является MD5 .

Доказуемо безопасные хэш-функции

В этом подходе безопасность хэш-функции основана на некоторой сложной математической задаче, и доказано, что нахождение коллизий хэш-функции так же сложно, как и взлом базовой проблемы. Это дает несколько более сильное представление о безопасности, чем простое полагание на сложное смешивание битов, как в классическом подходе.

Криптографическая хэш-функция имеет доказуемую безопасность от атак коллизий , если поиск коллизий доказуемо сводится к полиномиальному времени из задачи P, которая, как предполагается, неразрешима за полиномиальное время. Тогда функция называется доказуемо безопасной или просто доказуемой.

Это означает, что если бы поиск коллизий был возможен за полиномиальное время с помощью алгоритма A , то можно было бы найти и использовать полиномиальный алгоритм R (алгоритм редукции), который использовал бы алгоритм A для решения задачи P , которая , как широко предполагается, неразрешима за полиномиальное время. Это противоречие. Это означает, что поиск коллизий не может быть проще, чем решение P.

Однако это лишь указывает на то, что в некоторых случаях поиск столкновений затруднен , поскольку не все примеры вычислительно сложных задач обычно являются сложными. Действительно, очень большие примеры NP-сложных задач решаются регулярно, в то время как только самые сложные практически не поддаются решению.

Сложные проблемы

Примеры задач, которые, как предполагается, не могут быть решены за полиномиальное время, включают:

• Дискретный логарифм
• Модульные квадратные корни
• Факторизация целых чисел
• Сумма подмножества

Недостатки доказуемого подхода

• Текущие ^{[ когда? ]} устойчивые к коллизиям хэш-алгоритмы, которые имеют доказуемое снижение безопасности , слишком неэффективны для использования на практике. По сравнению с классическими хэш-функциями они, как правило, относительно медленные и не всегда соответствуют всем критериям, традиционно ожидаемым от криптографических хэшей. Очень гладкий хэш является примером.
• Построение хеш-функции с доказуемой безопасностью гораздо сложнее, чем использование классического подхода, где просто надеются, что сложное смешивание битов в алгоритме хеширования достаточно надежно, чтобы не дать злоумышленнику обнаружить коллизии.
• Доказательство часто представляет собой сведение к проблеме с асимптотически жесткой сложностью в худшем или среднем случае . Сложность в худшем случае измеряет сложность решения патологических случаев, а не типичных случаев базовой проблемы. Даже сведение к проблеме с жесткой сложностью в среднем случае обеспечивает лишь ограниченную безопасность, поскольку все еще может существовать алгоритм, который легко решает проблему для подмножества проблемного пространства. Например, ранние версии Fast Syndrome Based Hash оказались небезопасными. Эта проблема была решена в последней версии.

SWIFFT — пример хэш-функции, которая обходит эти проблемы безопасности. Можно показать, что для любого алгоритма, который может взломать SWIFFT с вероятностью p в течение предполагаемого времени t , можно найти алгоритм, который решает наихудший сценарий определенной сложной математической задачи в течение времени t ′ в зависимости от t и p . ^{[ требуется цитата ]}

Пример (непрактичной) доказуемо безопасной хэш-функции

Пусть hash( m ) = x ^m mod n , где n — сложно разлагаемое составное число, а x — некоторое заранее заданное базовое значение. Коллизия x ^{m ₁} ≡ x ^{m ₂} (mod n ) выявляет кратное m ₁ − m ₂ мультипликативного порядка x по модулю n . Эту информацию можно использовать для разложения n за полиномиальное время, предполагая определенные свойства x .

Однако алгоритм совершенно неэффективен, поскольку требует в среднем 1,5 умножения по модулю n на бит сообщения.

Более практичные доказуемо безопасные хэш-функции

• VSH — Very Smooth Hash — доказуемо безопасная, устойчивая к коллизиям хеш-функция, предполагающая сложность нахождения нетривиальных модульных квадратных корней по модулю составного числа n (доказано, что это так же сложно, как разложение n на множители ).
• МуХАШ
• ECOH — хэш-функция только для эллиптических кривых —основана на концепции эллиптических кривых , задаче подмножества сумм и суммировании полиномов. Доказательство безопасности сопротивления коллизиям основывалось на ослабленных предположениях, и в конечном итоге была найдена вторая атака на прообраз.
• FSB — быстрая синдромная хэш-функция — можно доказать, что взлом FSB по крайней мере так же сложен, как и решение обычной синдромной декодировки , которая, как известно, является NP-полной.
• SWIFFT — SWIFFT основан на быстром преобразовании Фурье и, как доказывается, устойчив к коллизиям при относительно мягком предположении о наихудшей сложности нахождения коротких векторов в циклических/ идеальных решетках .
• Хаум, ван Хейст, хеш-функция Пфицмана — функция сжатия, в которой поиск коллизий так же сложен, как решение задачи дискретного логарифмирования в конечной группе F _{2 p +1} .
• Хэш-функции на основе задачи о рюкзаке — семейство хэш-функций, основанных на задаче о рюкзаке .
• Функция хэширования Земора-Тиллиха — семейство функций хэширования, которое опирается на арифметику группы матриц SL 2 . Поиск коллизий по крайней мере так же сложен, как и поиск факторизации определенных элементов в этой группе. Предполагается, что это сложно, по крайней мере PSPACE-полный . ^{[ сомнительный – обсудить ]} Для этого хеша в конечном итоге была обнаружена атака со сложностью по времени, близкой к 2 ^{n /2} . Это намного превосходит сложность ограничения дня рождения и идеальную сложность прообраза, которые составляют 2 ^{3 n /2} и 2 ^{3 n} для функции хэширования Земора-Тиллиха. Поскольку атаки включают поиск дня рождения в сокращенном наборе размера 2 n , они действительно не разрушают идею доказуемой безопасности и не делают схему недействительной, а скорее предполагают, что начальные параметры были слишком малы. ^[3]
• Хэш-функции из протоколов Sigma — существует общий способ построения доказуемо безопасного хеша, в частности, из любого (подходящего) протокола sigma . Более быстрая версия VSH (называемая VSH*) может быть получена таким образом.

Ссылки

1. Гудин, Дэн (10.12.2012). «Кластер из 25 графических процессоров взламывает все стандартные пароли Windows менее чем за 6 часов». Ars Technica . Получено 23.11.2020 .
2. http://eprint.iacr.org/2008/469.pdf ^{[ пустой URL-адрес PDF ]}
3. Пети, К.; Квискватер, Ж.-Ж.; Тиллих, Ж.-П., «Сложные и простые компоненты поиска коллизий в хэш-функции Земора-Тиллиха: новые атаки и сокращенные варианты с эквивалентной безопасностью» (PDF) , {{citation}}: Отсутствует или пусто |title=( помощь )