Est-ce que des recherches publiées indiquent que des attaques de pré-image sur MD5 sont imminentes?
https://stackoverflow.com/questions/822638
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je continue à lire sur SO que MD5 est cassé, effondré, obsolète et ne doit jamais être utilisé. Cela me met en colère.
Le fait est que les attaques par collision sur MD5 sont maintenant relativement simples. Certaines personnes ont des attaques par collision allant jusqu’à un art et peuvent même nous les utiliser pour prédire les élections . .
Je trouve la plupart des exemples MD5 "brokeness &"; moins intéressant. Même le piratage de certificat de CA réputé était une attaque de collision signifiant qu'il est prouvable que la partie a généré les certificats GOOD et EVIL en même temps. Cela signifie que si l’AC CA EVIL a trouvé son chemin dans la nature, il est prouvé qu’elle a fui de la personne qui avait le bon AC et qu’elle a donc fait confiance de toute façon.
Un preimage ou une seconde attaque de pré-image serait encore plus préoccupant.
Quelle est la probabilité d’une attaque de pré-image sur MD5? Y a-t-il des recherches en cours pour indiquer que c'est imminent? Le fait que le MD5 soit vulnérable aux attaques par collision augmente-t-il le risque de subir une attaque de pré-image?
La solution
En cryptographie, les recommandations ne sont généralement pas faites en prédisant l’avenir, c’est impossible. Les cryptographes tentent plutôt d'évaluer ce qui est déjà connu et publié. Pour s’adapter aux futures attaques potentielles, les cryptosystèmes sont généralement conçus de manière à laisser une marge de sécurité. Par exemple. Les clés cryptographiques sont généralement choisies un peu plus longtemps que nécessaire. Pour la même raison, les algorithmes sont évités une fois que des faiblesses ont été trouvées, même si ces faiblesses ne sont que de certification.
En particulier, RSA Labs a recommandé d’abandonner MD5 pour les signatures dès 1996, après que Dobbertin eut découvert des collisions dans la fonction de compression. Les collisions dans la fonction de compression n'impliquent pas l'existence de collisions dans la fonction de hachage, mais nous ne pouvons trouver de collisions pour MD5 que si nous pouvons trouver des collisions pour sa fonction de compression. Ainsi, les laboratoires RSA ont décidé de ne plus avoir confiance en la résistance aux collisions du MD5.
Aujourd'hui, nous sommes dans une situation similaire. Si nous sommes convaincus qu'une fonction de hachage est résistante aux collisions, nous pouvons également être certains que la fonction de hachage est résistante à la pré-image. Mais MD5 a des faiblesses importantes. Par conséquent, de nombreux cryptographes (y compris des personnes comme Arjen Lenstra) pensent que le MD5 ne dispose plus de la marge de sécurité nécessaire pour être utilisé, même dans les applications qui ne reposent que sur la résistance à la pré-image, et recommande par conséquent de ne plus l'utiliser. Les cryptographes ne peuvent prédire l'avenir (il ne faut donc pas chercher de documents qui le permettent), mais ils peuvent recommander des précautions raisonnables contre les attaques potentielles. Recommander de ne plus utiliser le MD5 est l’une de ces précautions raisonnables.
Autres conseils
Nous ne savons pas.
Ce genre d’avancée a tendance à se produire "tout à coup": une personne effectue une percée théorique et trouve une méthode 2 fois sur 10 (ou peu importe) encore meilleure que la meilleure précédente.
Il semble que les attaques de pré-image soient peut-être encore un peu lointaines; Un article récent réclame une complexité de 2 ^ 96 pour une pré-image sur une image réduite. , Version 44 tours de MD5. Cependant, ce n’est pas une question de probabilité mais plutôt de savoir si quelqu'un est assez intelligent pour franchir cette étape finale et placer la complexité de la véritable affaire dans une marge réaliste.
Cela dit, étant donné que les attaques par collision sont déjà bien réelles ( une minute sur un ordinateur portable typique ). ), et les attaques de pré-image peuvent être (ou peuvent ne pas être) juste autour du coin, il est généralement considéré prudent de passer à quelque chose de plus fort maintenant, avant qu'il ne soit trop tard.
Si les collisions ne vous posent pas problème, vous aurez peut-être le temps d’attendre la Concours NIST SHA-3 pour proposer quelque chose de nouveau. Mais si vous avez assez de puissance de traitement et de bits en réserve, utiliser SHA-256 ou similaire est probablement une précaution prudente.
Cryptographiquement, la résistance à la pré-image de MD5 est déjà dépassée, voir ce document d'Eurocrypt 2009 . Dans ce contexte formel " cassé " signifie plus rapide que les attaques par force brute, c’est-à-dire dont la complexité est inférieure à (2 ^ 128) / 2 en moyenne. Sasaki et Aoki ont présenté une attaque d’une complexité de 2 ^ 123.4, qui n’est de loin que théorique, mais chaque attaque pratique repose sur une attaque théorique moins puissante. Même une coupure théorique jette donc un doute sérieux sur son support. sécurité à long terme. Ce qui est également intéressant, c’est qu’ils réutilisent une grande partie de la recherche sur les attaques par collision sur MD5. Cela illustre bien le point d'Accipitridae selon lequel les attaques par collision ont disparu de la marge de sécurité de MD5 sur la résistance avant l'image.
Une autre raison pour laquelle l'utilisation de MD5 en 2009 a été et l'utilisation de SHA1 est maintenant fortement déconseillée pour toutes les applications est que la plupart des gens ne comprennent pas exactement la propriété sur laquelle la sécurité de leur cas d'utilisation repose sur. Vous avez malheureusement prouvé ce que je pensais dans votre question en affirmant que l'attaque de 2008 contre le CA ne reposait pas sur un échec de la résistance aux collisions, comme l'a souligné caf.
Pour élaborer un peu, chaque fois qu'une autorité de certification (approuvée) signe un certificat, elle signe également des données potentiellement malveillantes provenant d'un client sous la forme d'une demande de signature de certificat (CSR). Désormais, dans la plupart des cas, toutes les données à signer peuvent être pré-calculées à partir du CSR et de certaines conditions externes. Cela a l’effet secondaire fatal que l’état de la fonction de hachage sera, quand il va hacher les données non fiables sortant du CSR est complètement connu de l’attaquant, ce qui facilite une attaque par collision. Ainsi, un attaquant peut précalculer un CSR qui forcera l'autorité de certification à hacher et à signer des données ayant une collision avec un certificat de cliché uniquement connu de l'attaquant. L'autorité de certification ne peut pas vérifier les conditions préalables du certificat fantôme qu'elle vérifierait généralement avant de le signer (par exemple, le nouveau certificat ne prétend pas être un certificat racine), car elle n'a accès qu'à la CSR légitime fournie par les attaquants. De manière générale, une fois que vous avez des attaques par collision et qu'une partie de vos données est contrôlée par un attaquant, vous ne savez plus quoi d'autre vous pouvez signer en plus des données que vous voyez.
