Whoea, 56 uur m.a.w. iets meer dan 2 dagen. Nog geen reden
voor paniek denk ik. Althans niet voor mijn omgeving. Als
iemand zo geïnteresseerd is in mijn gegevens, moet ik wel
iets gedaan hebben wat totaal niet door de beugel kan.

En dat op een machine van 38 miljoen, he.


Nouja, het maakt het toch een stuk minder geschikt voor bijvoorbeeld een digitale handtekening onder (bijvoorbeeld) een overeenkomst.

"Via een aangepaste DES cracker, die nu zo'n 38 miljoen
dollar kost, kan SHA-1 binnen 56 uur gekraakt worden" - dat
schrijft Bruce niet.

Hij schrijft dat in 1999 een DES cracker van 250 duizend
dollar (die achteraf ook voor 75000$ gebouwd had kunnen
worden), 2^56 DES berekeningen in 56 uur kon doen. Daarna
extrapoleert hij en wordt het gokken qua performance, maar
er is daarbij geen sprake van een "aangepaste DES cracker".

Desalniettemin tijd voor actie (paniek is echter nooit goed).

Misschien dat je zelf niets "te verbergen" hebt, maar bijv.
de overheid maakt ook gebruik van deze hash techniek.
Mogelijk is de kavel waar jouw huis op staat wel digitaal
vastgelegd en elektronisch ondertekend. Wat als iemand dat
weet te manipuleren en vervolgens claimed dat het stuk grond
van hem is?

Op
http://www.pkioverheid.nl/asp/get.asp?xdl=../views/pki/xdl/Page&VarIdt=00000001&SitIdt=00000002&ItmIdt=00000420
staat het pve (Programma Van Eisen) van de PKI overheid. In
het document "toegestane algoritmes" (pdf, 215kB)
http://www.pkioverheid.nl/contents/pages/00000360/pve_uitwerking_algoritmes_v2_0.pdf
van september 2003 staat sha-1 meermalen (naast ripemd160)
als toegestaan hash-algoritme. Het gebruik ervan is
toegestaan tot 31-12-2005, maar hoe lang ze daarna geldig
zijn zie ik zo snel niet staan. Zo te zien is e.e.a. niet
veranderd in de wijzigingen die eind 2004 zijn vastgesteld
(bovenaan de eerder genoemde webpage).

Ik moet eerlijk zeggen dat ik me er verder nauwelijks in
verdiept heb en derhalve geen flauw benul heb waar deze
techniek wordt toegepast; maar ik kan me voorstellen dat
deze wordt gebruikt bij contracten die de genoemde 38
miljoen dollar overstijgen. Of het daarna een paar dagen of
een maand duurt om deze te kraken maakt niet zoveel uit.

Na de "kraak" van MD5 lijkt dit een sterke indicatie dat je
nooit lang op een digitale handtekening kunt vertrouwen, en
erger nog, hoe lang dan wel wordt blijkbaar ook
verkeerd voorspeld. Cryptografie is kennelijk dusdanig
zwarte magie dat, ongeacht het aantal specialisten
dat een algoritme (en implementatie) onderzoekt en zegt dat
het er "goed uitziet", het wachten is op iemand die het
tegendeel bewijst (echte crypto's: correct me if I'm wrong :).

Wellicht is het handmatig ondertekenen van 2 exemplaren bij
een notaris, die 1 exemplaar in bewaring neemt (dus een
exactie kopie i.p.v. een hash) toch een betrouwbaarder
systeem, vooral op langere termijn.

Erik van Straten

"Cryptografie is kennelijk dusdanig
zwarte magie dat, ongeacht het aantal specialisten
dat een algoritme (en implementatie) onderzoekt en zegt dat
het er "goed uitziet", het wachten is op iemand die het
tegendeel bewijst (echte crypto's: correct me if I'm wrong :)."

Ik denk dat dit de essentie van wetenschap is.
Zaken worden getoetst volgens op dat moment geldende
theorien en standaarden. Als op een moment iemand zo'n
theorie of standaard weet te weerleggen, is het mogelijk dat
ook de zaken die daar aan getoetst zijn op losse schroeven
komen te staan.
Dit noemen we dan vooruitgang ;)

Handtekeningen zijn na te maken en notarissen kan je omkopen.

Algoritme is niets mis mee. Men heeft alleen aangetoond dat het niet zo lang zou duren als verwacht om het brute force te kraken.

Er is volgens mij niet 1 encryptie gerelateerd algoritme wat niet door middel van brute force te kraken is.
All you need is time. If you don't have time, you need money... lot's of it :)

Signeren met je eigen bloed was dus zo gek nog niet; iets
wat je hebt en iets wat je weet.

Eddee

Op zondag 20 februari 2005 17:47 schreef Wimbo:
> Algoritme is niets mis mee.

Jawel, want het kan naar verluid 2048x sneller worden
ge-brute-forced dan waar 160bits hash algoritmes voor worden
ontworpen.

> Er is volgens mij niet 1 encryptie gerelateerd
> algoritme wat niet door middel van brute force
> te kraken is.

Daarom wordt ingeschat hoe lang het duurt voordat er
computers zullen zijn die een dergelijke brute-force attack
redelijkerwijs kunnen uitvoeren, uitgaande van een
berekend gemiddeld aantal pogingen. Als dat aantal
pogingen veel lager uitvalt (zoals in dit geval) heet in de
cryptografie het algoritme gebroken; immers het zal z'n
eerder voorspelde levensduur niet halen.

Het ergste is dat dit lek in SHA-1 voor de ingebruikname
over het hoofd is gezien (ervan uitgaande dat het niet
bewust door de NSA is ingebouwd). Je kunt niet uitsluiten
dat er grotere fouten in zitten waar zelfs al misbruik van
gemaakt kan zijn.

Erik van Straten

niet alleen offtopic, ook nog eens een drogredenering.

Beste erik,

Gezien het feit dat de NSA SHA-1 aanbeveelt voor
overheidsgebruik in de VS zullen ze daar niet bewust zwakke
plekken in inbouwen.

Sterker nog, de NSA heeft in het verleden meermalen design
changes op encryptie- of hashalgoritmes uitgebracht,
overigens ongemotiveerd, waardoor deze algoritmes stukken
minder kwestbaar werden. Ook weer omdat de NSA in eerste
instantie verantwoordelijk is voor de bewaking van
Amerikaanse staatsgeheimen, en pas in tweede instantie voor
het verzamelen van intelligence. De NSA is er bij gebaat
deze lekken zelf op te sporen, ze zijn er niet bij gebaat
dat de Amerikaanse overheid de zelfde lekke protocollen
gebruikt.

Overigens ben ik er van overtuigd dat ze nu al weten welke
lekken er in bijvoorbeeld AES zitten...

No Such Agency weet vrij nauwkeurig hoe goed andere crypto
researcher zijn en hoever ze zijn, indien je voor miljarden
aan computing power kan beschikken gecombineerd met de beste
cryptografen kan je gerust wel overwogen zwakheden inbouwen.

Dat NIST SHA-1 enige tijd geleden al af heeft geschreven
(immers aan een aanbeveling gaat maanden wellicht jaren aan
ambtelijke proccessen aan vooraf) doet bij mij vermoeden
dat de NSA allang wist dat SHA-1 op meerdere manieren te
cracken was als ook hoever de Chinezen hiermee waren.

Het enige wat ik nog steeds niet begrijp waarom de Chinezen
dit naar buiten hebben gebracht, lijkt me niet in hun belang
als ook dat het niet in het belang is van de NSA.

Dan moet je Scheiers stuk nog eens beter lezen. Zoals hij uitlegt is de hele
wetenschap van encryptie gebaseerd op het kraken van de bestaande
algoritmes en leren van de zwakheden om sterkere te bouwen. Als die
Chinezen goedwillend zijn is 't dus logisch om het naar buiten te brengen:
stimuleert iedereen om op een veiliger algoritme over te stappen zonder
dat er nog dingen echt gekraakt zijn. En zelfs als ze kwaadwillend zouden
zijn (richting Amerika) doen ze er goed aan het naar buiten te brengen,
want de nu ontdekte 'weakness' is nog niet in de praktijk uitvoerbaar
(de 'DES kraker van $38M' is een theoretisch getal van Shneier, niet een
machine die echt ergens draait) maar als iedereen nu verder gaat bouwen
op het Chinese onderzoek zal het minder lang duren voor SHA-1 wel
_echt_ te kraken valt in praktisch toepasbare tijd of voor praktisch haalbare
kosten.

Overigens over elektronische handtekeningen voor de langere termijn en
notarissen e.d.:
Hoewel het zo is dat SHA-1 inderdaad wordt gebruikt voor lange termijn e-
handtekeningen om de hashwaarde te berekenen waarover de
handtekening wordt gezet, doet de nu gevonden zwakheid nauwelijks af
aan de 'houdbaarheid' van dergelijke handtekeningen. Weliswaar kun je
(theoretisch) in 56 uur een ander bericht vinden dat dezelfde hash-waarde
oplevert (dus een collision geeft met SHA-1), maar de kans dat dat bericht
ook een zinvolle Nederlandstalige boodschap is, is verwaarloosbaar klein.
Het is niet zo dat je een naam kunt veranderen in je eigen naam en verder
het bericht gelijk kunt laten, want dan is de hashwaarde gegarandeerd
NIET hetzelfde.
SHA-1 wordt echter ook gebruikt in creditcardverificatie over internet, en
omdat het daar over veel kleinere berichten gaat (16-cijferig
creditcardnummer bijvoorbeeld) is het veel vervelender als makkelijk
collisions kunnen worden gevonden. De 'houdbaarheid' van dat soort
transactiegegevens is daarentegen veel lager. Dus het blijft belangrijk om
naar betere algoritmes over te stappen als oudere algoritmes verzwakken,
maar niemand hoeft zich zorgen te maken over de kracht van de
momenteel gebruikte elektronische handtekeningen.