TigerTeam - suomalainen tietoturvablogi

Parhaillaan meneillään olevaa SHA-3-kilpailua ja FIPS180-4-julkistusta koskevat uutiset herättävät kysymyksiä nykyisten tiivistefunktioiden (hash) tilasta: mikä on turvallinen, mitä niistä tulisi käyttää, mitä eri vaihtoehdoista tiedetään ja mitä lähitulevaisuus tulee ehkä muuttamaan.

Pureudutaanpa aluksi nykyisin salausmaailmassa käytössä oleviin tiivistefunktioihin ja siihen mitä niistä tiedetään:

Tiivistefunktiot ovat menetelmä kahden tietueen yhteneväisyyden toteamiseksi. Tämä tehdään yksisuuntaisella funktiolla, joka useimmissa tapauksissa antaa syötettä pienemmän vastauksen – tietoa siis menetetään. Tämän tuloksena funktioille on tunnusomaista ns. monesta-yhteen-periaate, jossa useasta eri syötteestä muodostuu sama tiiviste. Sama tilanne voi olla tarkistussummia laskettaessa – kahdella täysin eri tiedostolla onkin sama tarkistussumma. Tällaista tilannetta kutsutaan törmäykseksi, salaustermein kollisioksi (collision). Kasvattamalla tarkistussumman pituutta pienennetäänkin törmäyksen todennäköisyyttä.

Nykyään laajassa yleisessä käytössä on useita eri tiivistefunktioita:

MD5 (Message Digest 5) oli pitkään standardinomainen tiivistefunktio tuottaen 128-bittisiä tiivisteitä. Se kehitettiin vuonna 1991. MD5:ta käytetään verkossa vielä hyvin usein mm. tiedostojen alkuperän varmistamiseen, vaikka kryptologit ovat suositelleet käytöstä luopumista jo vuodesta 1996 lähtien. Jo vuonna 2004 oli mahdollista luoda helposti saatavilla olevalla laitteistolla törmäyksiä alle tunnissa ja MD5:tä alettiin pitää turvattomana. Kuitenkin vaihtoprosessin vaikeus on osoittanut kuinka tärkeää pitkän tähtäimen suunnittelu tiivistefunktion valinnassa ja käyttöönotossa on. Tällä hetkellä peruskannettavalla voi laskea tällaisia törmäyksiä sekunneissa ja tarkoitukseen valjastetuilla erikoislaitteistoilla hyökkäys vie alle sekunnin.

Hyppy 90-luvun alkuun

SHA-1 puolestaan on 160-bittinen tiivistefunktio. Se pohjautuu alun perin vuonna 1993 nimellä Secure Hash Standard julkaistuun tiivistefunktioon, josta korjattiin paria vuotta myöhemmin sisäistä pakkaustoimintoa koskeva virhe. Yleisyydessä SHA-1 pitää kakkossijaa heti MD5:n jälkeen ja vaikka se on MD5:tä turvallisempi, on olemassa lukuisia teoreettisia hyökkäyksiä, joilla murtaminen helposti saatavilla olevaa laitteistoa hyödyntäen on mahdollista. Siirtyminen turvallisempiin tiivistefunktioihin on suositeltavaa.

SHA-2 on tarkkaan ottaen kokoelma keskenään samantyyppisiä tiivistefunktioita, joiden tuotos on 224-, 256-, 384- tai 512-bittinen. Siksi puhutaan myös muunnoksista SHA-224, SHA-256, SHA-384- ja SHA-512.

FIPS180-4-toteutus laajentaa valikoimaa hieman, jotta mm. 64-bittisen nykylaitteiston suorituskyky voidaan ottaa paremmin huomioon.

Bittisyyskirjo helpottaa tulevaisuudessa edessä olevaa algoritmin vaihtoa, koska olemassa oleviin protokolliin ei tarvitse tehdä suuria muutoksia. Nykykäyttöjärjestelmät tukevat algoritmia laajasti ja se on suositeltavin algoritmi useimmissa tapauksissa, kunhan tiivisteiden pituus valitaan tulevaisuutta silmällä pitäen oikein.

SHA-3-funktiota ei ole itse asiassa vielä julkaistu.

Meneillään on parhaillaan kilpailu, jossa SHA-2:n seuraajaa etsitään. Nämä tiivistefunktiot eivät perustu aikaisempaan SHA-perheeseen.

Tietoa kilpailumenettelystä on saatavissa yhdysvaltalaisen NIST:n (Kansallinen standardointi- ja teknologiainstituutti The National Institute of Standards and Technology) verkkosivuilta ja lopullinen valinta on odotettavissa ensi vuonna. Olipa valittava tiivistefunktio mikä tahansa suositeltava siirtymäjakso SHA-2:sta tulee kestämään viidestä kymmeneen vuotta.

Mikä sitten valita?

Jos olet ottamassa käyttöön uutta tietojärjestelmää tai valitsemassa tiivistefunktiota useimmissa tapauksissa SHA-2-perheen valinta on suositeltavaa. Järjestelmän elinkaari tulee suunnitella huolellisesti. Kuten historia on osoittanut tiivistefunktion valinnalla on vaikutuksia vielä 20 vuoden kuluttuakin, näinhän kävi MD5:n kohdalla. On oltava selkeä suunnitelma tilanteeseen kun – ei siis jos – valittu funktio osoittautuu alttiiksi murtamiselle. SHA-1:tä tulisi käyttää vain rajoitetusti, yleensä taaksepäin yhteensopivuuden takaamiseksi. MD5:ta ei kuitenkaan tule käyttää missään tapauksessa!

Inspect-yksikön tietoturvakonsultti Samuell “Sam” Lavitt on aikaisemmin kirjoittanut blogissamme näkemyksiään kehittyneistä evaasiotekniikoista. Käännös: Juha-Matti Laurio

NIST (The National Institute of Standards and Technology) kertoo raportissaan SHA-3:n valinnan evaluointikriteereistä sekä yleisistä valintaperusteista ensimmäisen kandidaattikierroksen jälkeen. Kriteerejä ovat algoritmin turvallisuus, kustannustehokkuus ja suorituskyky sekä toteutusmalli.

21-sivuinen raportti NISTIR 7620 on ladattavissa PDF-muodossa tästä osoitteesta.

Toiselle kandidaattikierrokselle pääsi kesällä 14 algoritmia kaikkiaan 51 ehdokkaasta.

Tunnettuja hyökkäysmenetelmiä ehdokkaille seuraa itävaltalainen ECRYPT-wiki.

Yhdysvaltalainen NIST-instituutti (National Institute of Standards & Technology) on julkaissut listan toiselle kandidaattikierrokselle päässeistä SHA-3-salausalgoritmin seuraajista.

Kandidaatteja oli alun perin peräti 51 kappaletta, joista 14 pääsi nyt jatkokierrokselle.

Ehdokkaat ovat aakkosjärjestyksessä BLAKE, Blue Midnight Wish, CubeHash, ECHO, Fugue, Grøstl, Hamsi, JH, Keccak, Luffa, Shabal, SHAvite-3, SIMD ja Skein.

Seuraamme valintaprosessin etenemistä Nixun blogissa.