هل يشير أي بحث منشور إلى أن هجمات preimage على MD5 وشيكة؟
https://stackoverflow.com/questions/822638
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أستمر في القراءة حتى يتم كسر MD5 ، تمثال نصفي ، قديم وعدم استخدامه. هذا يغضبني.
الحقيقة انه هجمات الاصطدام على MD5 الآن سهلة إلى حد ما. بعض الناس يعانون من هجمات تصادم وصولاً إلى الفن ويمكننا حتى أن نستخدمها توقع الانتخابات.
أجد معظم الأمثلة MD5 "السفة" أقل إثارة للاهتمام. حتى ال شهادة CA الشهيرة اختراق كان هجومًا تصادمًا يعني أن الحزب قد ولدت الشهادات الجيدة والشر في نفس الوقت. هذا يعني أنه إذا وجدت CA Evil طريقها إلى البرية ، فمن يمكن إثبات أنها تسربت من الشخص الذي كان لديه CA الجيد وبالتالي تم الوثوق به على أي حال.
ما سيكون أكثر من ذلك هو أ preimage أو هجوم preimage الثاني.
ما مدى احتمال هجوم preimage على MD5؟ هل هناك أي بحث حالي للإشارة إلى أنه وشيك؟ هل حقيقة أن MD5 عرضة لهجمات الاصطدام تجعل من المرجح أن تعاني من هجوم preimage؟
المحلول
في توصيات التشفير لا يتم تقديمها بشكل عام عن طريق التنبؤ بالمستقبل ، لأن هذا مستحيل القيام به. بدلاً من ذلك ، يحاول المشفرون تقييم ما هو معروف بالفعل ونشره. لضبط الهجمات المستقبلية المحتملة ، يتم تصميم النظم المشفرة بشكل عام بحيث يكون هناك بعض هامش السلامة. على سبيل المثال ، يتم اختيار مفاتيح التشفير لفترة أطول قليلاً من الضرورة. لنفس السبب يتم تجنب الخوارزميات بمجرد العثور على نقاط الضعف ، حتى لو كانت نقاط الضعف هذه مجرد شهادات.
على وجه الخصوص ، أوصت مختبرات RSA بالتخلي عن MD5 للتوقيعات بالفعل في عام 1996 بعد أن وجدت دوبرتين تصادمات في وظيفة الضغط. لا تعني الاصطدامات في وظيفة الضغط أن التصادمات في وظيفة التجزئة موجودة ، لكن لا يمكننا العثور على تصادمات لـ MD5 ما لم نتمكن من العثور على تصادمات لوظيفة الضغط. وهكذا قررت مختبرات RSA أنه لم يعد لديهم ثقة في مقاومة تصادم MD5S.
اليوم ، نحن في وضع مماثل. إذا كنا واثقين من أن وظيفة التجزئة مقاومة للتصادم ، فيمكننا أيضًا أن نكون واثقين من أن وظيفة التجزئة مقاومة. لكن MD5 لديه نقاط ضعف كبيرة. وبالتالي ، يعتقد العديد من المشفرات (بما في ذلك أشخاص مثل أرجين لينسترا) أن MD5 لم يعد لديه هامش السلامة اللازم لاستخدامه حتى في التطبيقات التي تعتمد فقط على مقاومة preimage وبالتالي لا يوصي باستخدامها. لا يمكن للتشفير التنبؤ بالمستقبل (لذلك لا تبحث عن أوراق تفعل ذلك فقط) ، لكن يمكنهم التوصية باحتياطات معقولة ضد الهجمات المحتملة. التوصية بعدم استخدام MD5 بعد الآن هو أحد هذه الاحتياطات المعقولة.
نصائح أخرى
نحن لا نعرف.
يميل هذا النوع من التقدم إلى أن يأتي "فجأة" - يقوم شخص ما بتقديم اختراق نظري ، ويجد طريقة 2^10 (أو أي شيء) أفضل من الأفضل.
يبدو أن هجمات preimage قد لا تزال بعيدة بعض الشيء ؛ أ ورقة حديثة يدعي تعقيد 2^96 ل preimage على نسخة مخفضة ، 44 جولة من MD5. ومع ذلك ، فإن هذه ليست مسألة احتمال ، بل ما إذا كان شخص ما ذكيًا بما يكفي للذهاب إلى هذه الخطوة الأخيرة وجلب التعقيد للصفقة الحقيقية إلى هامش واقعي.
ومع ذلك ، نظرًا لأن هجمات الاصطدام حقيقية جدًا بالفعل (دقيقة واحدة على جهاز كمبيوتر محمول نموذجي) ، وقد تكون هجمات preimage (أو لا) قاب قوسين أو أدنى ، من الحكمة أن تتحول إلى شيء أقوى الآن ، قبل فوات الأوان.
إذا لم تكن الاصطدامات مشكلة بالنسبة لك ، فقد يكون لديك وقت لانتظار مسابقة NIST SHA-3 للتوصل إلى شيء جديد. ولكن إذا كان لديك قوة معالجة وبتات لتجنيبها ، فمن المحتمل أن يكون استخدام SHA-256 أو ما شابه ذلك بمثابة احتياطية حكيمة.
من الناحية التشفية ، مقاومة ما قبل التصور لـ MD5 سابقا كسر ، انظر هذه الورقة من EuroCrypt 2009. في هذا السياق الرسمي "المكسور" يعني أسرع من هجمات القوة الغاشمة ، أي هجمات لها تعقيد أقل من (2^128)/2 في المتوسط. قدم Sasaki و Aoki هجومًا مع تعقيد 2^123.4 وهو نظري إلى حد بعيد ، لكن كل هجوم عملي يبني على هجوم نظري أقل قوة ، لذلك حتى استراحة نظرية جدي الشكوك على أمنها متوسطة الأجل. الأمر المثير للاهتمام أيضًا هو أنهم يعيدون استخدام الكثير من الأبحاث التي دخلت في هجمات التصادم على MD5. هذا يوضح نقطة Accipitridae بشكل جيد أن هامش السلامة في MD5 على مقاومة ما قبل الصورة قد اختفى مع هجمات الاصطدام.
سبب آخر لاستخدام MD5 في عام 2009 والآن يتم إحباط استخدام SHA1 أي تطبيق هو أن معظم الناس لا يفهمون أي خاصية دقيقة يعتمد أمان استخدامهم على. لقد أثبتت لسوء الحظ وجهة نظري في سؤالك تفيد بأن هجوم CA لعام 2008 لم يعتمد على فشل مقاومة التصادم ، كما أشار CAF.
لتوضيح بعض الشيء ، في كل مرة يوقع فيها CA (الموثوق به) شهادة ، يوقع أيضًا على ربما بيانات ضارة تأتي من عميل في شكل طلب توقيع الشهادة (CSR). الآن في معظم الحالات ، يمكن محسوبة جميع البيانات التي سيتم توقيعها مسبقًا من المسؤولية الاجتماعية للشركات وبعض الشروط الخارجية. هذا له الآثار الجانبية المميتة التي ستكون عليها وظيفة التجزئة ، عندما تكون البيانات غير الموثوقة التي تخرج من المسؤولية الاجتماعية للشركات معروفة تمامًا للمهاجم ، مما يسهل هجوم الاصطدام. وبالتالي ، يمكن للمهاجم أن يسبق لحساب المسؤولية الاجتماعية للشركات التي ستجبر CA على التجزئة وتوقيع البيانات التي لها تصادم مع شهادة ظل معروفة للمهاجم فقط. لا يمكن لـ CA التحقق من الشروط المسبقة لشهادة الظل التي عادةً ما تتحقق منها قبل التوقيع عليها (على سبيل المثال أن الشهادة الجديدة لا تدعي أنها شهادة جذر) ، لأنها لديها فقط الوصول إلى المسؤولية الاجتماعية للشركات المشروعة التي قدمها المهاجمون. بشكل عام ، بمجرد حصولك على هجمات تصادم وجزء من بياناتك يتم التحكم فيه من قبل مهاجم ، لم تعد تعرف ما الذي قد تقوم بالتوقيع عليه بجانب البيانات التي تراها.
