1. Fórum Root.cz
  2. Hlavní témata
  3. Vývoj
  4. Spojení hashovacích funkcí
« předchozí další »
Stran: 1 ... 3 4 [5]

Spojení hashovacích funkcí

  • 64 Odpovědí
  • 6942 Zhlédnutí

Filip Jirsák

  • *****
  • 5 477
    • Zobrazit profil
Re:Spojení hashovacích funkcí
« Odpověď #60 kdy: 04. 02. 2016, 11:20:18 »
Citace: Justas  04. 02. 2016, 10:53:14
To už se mi jako lepší jeví ten XOR
S XORem těch hashů jste to ještě oslabil. Když ty hashe dáte vedle sebe, bude mít hash1 na pozici n bit třeba 1 a hash2 na pozici n bit třeba 0. A útočník musí trefit takový vstupní dokument, který tyhle dva bity trefí úplně stejně (a ostatní bity samozřejmě také). Pokud uděláte XOR, útočníkovi stačí, když trefí takový vstupní dokument, že ve výsledku bude mít na n-té pozici hash1 také 1 a hash2 také 0, ale přípustná je i opačná kombinace, tedy hash1 0 a hash2 1. Pro dva stejně dlouhé hashe byste tím složitost efektivně zkrátil na polovinu, pro různě dlouhé hashe byste asi kratší hash doplnil nulami, XORem byste tedy složitost zkrátil „jenom“ o polovinu délky kratšího hashe.
IP zaznamenána

Reklama

  • * * * * *

Gdhsjskksks

Re:Spojení hashovacích funkcí
« Odpověď #61 kdy: 04. 02. 2016, 12:18:54 »
jop to so msa docital hned na zaciatku preto nie XOR :) XOR sa sice zda fajn v skutocnosti to ale ulahcuje
IP zaznamenána

Boethius

Re:Spojení hashovacích funkcí
« Odpověď #62 kdy: 05. 02. 2016, 00:21:45 »
S takovymto spojovanim hashovacich fci se poji nekolik problemu - muze dojit k tomu, ze se obe konstrukce vzajemne oslabi (odbocim-li od hashi k sifrovacim fcim, pak podobnou situaci muzu najit napr. u vetveni v ramci systemu zalozeneho na kvadratickych polynomech nad konecnym telesem), takovato skladani se navic hure analyzuji a vykon take neni uplne idealni. Suma sumarum nejde ani tak o pravdepodobnost nalezeni kolize jako spise o disproporci mezi "ocekavanou" a realnou pravdepodobnosti (omlouvam se predem za spise heuristicke odvozeni).
Co se tyce navrhu z kategorie "security through obscurity" - doporucuji si udelat tragikomicky vecer nad Mifare Classic (Crypto 1), A5/1 nebo A5/2 a jako perlu vecera zvolit WPS. (Ale je stejne fakt, ze muzeme hucet do lidi jak chceme, ale vzdy se najde najaky magor, ktery si rekne, ze nikdo neprolomi dvojityho Caesara.)
P.S.: Dokumenty umoznuji do sebe hazet relativne velke mnozstvi metadat, coz muze byt dobry prostor pro bruteforcing (napr. dam-li nejaka data za trailer bity obrazku, pak si tam muzu hazet, co chci a nic to neovlivni)
IP zaznamenána

Jenda

Re:Spojení hashovacích funkcí
« Odpověď #63 kdy: 05. 02. 2016, 16:07:31 »
Citace: Gdhsjskksks  02. 02. 2016, 17:00:01
Jasne ze dlzka do MD5 vstupuje :) neviem si realne predstavit ze by do nejakeho algorythmu dlzka nevstupovala (ale mozete ma prekvapit) ide o to ze tu dlzku by som posielal dalej NEHASHOVANU aby sa snou nedalo manipulovat :-) o to ide aby file mal prosiste urcity pocet bitov a tym to hasne.
To nepomůže, často ti jde o útoky na zprávy, které obsahují smetí. Například PDF dokument určitě půjde o pár set bajtů zoptimalizovat (snížení kvality vložených JPEG obrázků o 1 %…), aby se jinde mohlo zase pár set bajtů doplnit tam, kde to algoritmus pro generování kolizí potřebuje.

Citace: Boethius  05. 02. 2016, 00:21:45
S takovymto spojovanim hashovacich fci se poji nekolik problemu - muze dojit k tomu, ze se obe konstrukce vzajemne oslabi
To si nedokážu představit (za předpokladu, že útočník dokument zná, což vypadalo jako předpoklad tazatele). Je mi jasné, že bezpečnost může být stejná, protože třeba někdo najde obecný útok na Merkle–Damgård schéma, které používají obě podobně, ale určitě ne nižší.

Na druhou stranu pro praktického útočníka tu může být jistý obscurity factor - asi dojde k situaci, kdy si budeš moct stáhnout hotový program na generování kolizí v SHA-1, ale ohnout ho, aby pracoval s nějakou custom kombinací SHA-1 a MD5, bude vyžadovat znalost problematiky a nějakou dobu programování. A to se útočníkovi nemusí vyplatit, pokud je to low-profile target.
IP zaznamenána

Boethius

Re:Spojení hashovacích funkcí
« Odpověď #64 kdy: 05. 02. 2016, 17:28:38 »
Citace: Jenda  05. 02. 2016, 16:07:31
To si nedokážu představit (za předpokladu, že útočník dokument zná, což vypadalo jako předpoklad tazatele). Je mi jasné, že bezpečnost může být stejná, protože třeba někdo najde obecný útok na Merkle–Damgård schéma, které používají obě podobně, ale určitě ne nižší.
Uznavam, ze u hashe pouzivane jako checksum pro znamy dokument je to myslenka na oslabeni dost na hrane (nicmene mohla by byt zavislost mezi mnozinami vyhovujicich plaintextu pro danou cast hashe). Nicmene Merkle–Damgårdova konstrukce by mela byt z hlediska dokazatelne bezpecnosti v poradku za predpokladu, ze pouzita kompresni fce je bezkolizni (MD Veta: zjednodusene -> pokud bych mel kolizi v poslednim kroku, tak z bezkoliznosti fce bych mel kolizi uz o krok drive atd., overeni stejnych delek zalezi na konkretni variante MD).
Obscurity factor je dost rizikovy - muzu byt low-profile target, ale muze se stat, ze nekdo, kdo jim neni, pouziva stejnou metodu. Falesny pocit bezpeci je pak dost zakerna vec.
P.S.: Bezkolizni opet z hlediska teoreticke kryptografie, tzn. nikoliv neexistence kolize, ale obtiznost nalezeni kolize.
IP zaznamenána

Reklama

  • * * * * *
Stran: 1 ... 3 4 [5]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Vývoj
  4. Spojení hashovacích funkcí