Funzioni di hash: differenze tra le versioni

Template:Risorsa Una funzione di hash ${\displaystyle h}$, o message digest function, è una funzione che mappa un messaggio arbitrariamente lungo in una stringa di lunghezza prefissata, cercando di far in modo che da questa stringa non si possa risalire al messaggio che l'ha generata. La lunghezza della stringa finale è direttamente correlata con la sicurezza della funzione di hash, perché più una stringa è lunga, minore sarà la probabilità di trovare due messaggi con lo stesso digest, con la stessa stringa finale.

La stringa ${\displaystyle d=h(m)}$ può essere vista come l'impronta digitale del messaggio, teoricamente irripetibile.

Ciò che si chiede da una funzione di hash è:

1. l'efficienza computazionale, perché il messaggio ${\displaystyle m}$ potrebbe essere molto lungo;
2. la probabilità che accada ${\displaystyle d=h(m)}$ per un qualsiasi messaggio casuale ${\displaystyle m}$ deve essere ${\displaystyle 2^{-n}}$, dove il digest è lungo ${\displaystyle n}$ bit.
3. one way property o preimage resistance: dato il digest ${\displaystyle d}$, dev'essere computazionalmente impossibile calcolare il messaggio che l'ha generato;
4. dato il messaggio ${\displaystyle m}$ tale per cui ${\displaystyle d=h(m)}$, deve essere computazionalmente impossibile trovare un altro messaggio ${\displaystyle m^{\prime }}$ tale per cui ${\displaystyle h(m)=h(m^{\prime })=d}$;
5. deve essere computazionalmente impossibile trovare due messaggi ${\displaystyle m^{\prime }}$ ed ${\displaystyle m^{″}}$ che collidono, qualunque sia il loro digest.

Template:Matematica voce

Le funzioni di hash possono essere con o senza chiave; se sono senza chiave, vengono chiamate Modification Detection Code (MDC), altrimenti sono chiamate Message Authentication Code (MAC).

Lo scopo degli MDC è garantire la protezione d'integrità dei dati, cioè garantire che il messaggio ${\displaystyle m}$ di cui si possiede il digest è proprio quello che si sta leggendo. Nel caso in cui si abbia a che fare con dei MAC, allora gli scopi sono non solo la protezione di integrità, ma anche l'autenticazione dell'autore del messaggio.

Nel caso dei MAC, si ha una chiave, quindi si ha

${\displaystyle d=h_k(m)}$

Possibili attacchi ad un MAC, oltre a quelli per gli MDC (che restano validi), possono essere:

1. calcolare la chiave ${\displaystyle k}$ a partire da un numero sufficiente di digest ${\displaystyle d_i}$;
2. conoscendo un sufficiente numero di ${\displaystyle d_i=h_k(m_i)}$, calcolare il corretto valore di ${\displaystyle d_j=h_k(m_j)}$ senza conoscere la chiave;
3. trovare due messaggi ${\displaystyle m}$ e ${\displaystyle m^{\prime }}$ tali per cui ${\displaystyle h_k(m)=h_k(m^{\prime })=d}$.

Se nel caso degli algoritmi di cifratura simmetrici lo scopo principale è fare in modo che il miglior modo di leggere un messaggio senza conoscere la chiave sia provare tutte le chiavi, nel caso degli algoritmi MDC lo scopo principale è fare in modo che trovare due messaggi che collidono significhi calcolare almeno ${\displaystyle 2^{\frac{n}{2}}}$ hash, dove ${\displaystyle n}$ è la lunghezza dell'hash stesso.

Gli algoritmi MDC devono avere alcune proprietà, tra cui:

• preimage resistance, deve essere impossibile calcolare il messaggio a partire dal digest. Questa proprietà è importante, perché tra gli usi che si fa degli MDC c'è quello dell'autenticazione, dove l'utente si autentica al server mandando il digest

${\displaystyle d=h(challenge|key)}$

dove la challenge è una stringa casuale di bit imposta dal server (cosa da non fare, è troppo pericolosa).

• weak collision resistance, deve essere impossibile, dato ${\displaystyle d=h(m)}$, trovare un messaggio ${\displaystyle m^{\prime }}$ tale per cui ${\displaystyle d=h(m^{\prime })}$. Questo fatto è essenziale per le cosiddette firme digitali. Quello che si fa, infatti, è andare a firmare il digest del messaggio (che di solito è più corto del messaggio stesso), in modo tale da non rendere il calcolo della firma e la verifica un lavoro troppo oneroso per i calcolatori (pensiamo, ad esempio, al chip integrato in una smartcard, ha pochissima potenza computazionale). Se l'MDC non è sicuro da attacchi di questo tipo, allora sarà facile trovare un messaggio arbitrario che risulti esser stato firmato da qualcuno.

• strong collision resistance, deve essere impossibile trovare una qualsiasi coppia di messaggi ${\displaystyle m^{\prime }}$ ed ${\displaystyle m^{″}}$ che abbiano qualsivoglia digest ${\displaystyle d^{\prime }=d^{″}}$. Questo fatto è importante perché l'attaccante potrebbe avere qualche potere sul messaggio da firmare; in questo caso, vale la regola che (se l'MDC è sicuro) la resistenza della funzione di hash è direttamente proporzionale alla lunghezza del digest.

• one-way property, deve essere impossibile ricavare il testo del messaggio ${\displaystyle m}$ a partire dal suo digest ${\displaystyle d}$. Perché un MDC offra questa proprietà, ci deve essere una dimostrazione; ad oggi, non esiste alcuna dimostrazione che provi questa proprietà per nessun MDC usato, se non sotto certe ipotesi non sempre verificate; nonostante questo, può essere dimostrata la complessità computazionale minima per ricostruire il messaggio, dato il digest.

Quello che si fa con le funzioni iterative è dividere il messaggio in blocchi e continuare a comprimere questi blocchi fino a raggiungere la lunghezza finale del digest.

La funzione di compressione lavora su ${\displaystyle q}$ bit, quindi servono ${\displaystyle t}$ iterazioni della funzione per avere il risultato in ${\displaystyle n}$ bit da dare alla trasformazione finale ${\displaystyle g}$. La funzione è

${\displaystyle r_i=f(x_i,r_{i-1})}$

dove il primo elemento è un vettore di inizializzazione ${\displaystyle IV}$, che può essere un valore predefinito (non deve essere casuale, altrimenti la funzione non sarebbe ripetibile), oppure una funzione del messaggio stesso.

Il metodo di Matyas, Meyer e Oseas prevede di sfruttare un algoritmo di cifratura a blocchi per costruire l'MDC. La funzione di compressione ${\displaystyle f}$, quindi, sarà:

La funzione ${\displaystyle w()}$ si occupa di creare la chiave per l'algoritmo di cifratura, a partire prima dall'IV e successivamente dal testo cifrato, occupandosi di ridurre o aumentare in maniera deterministica il numero ${\displaystyle n}$ di bit. La funzione di cifratura E_k sarà come quelle che abbiamo già visto nel capitolo dei criptosistemi simmetrici.

Questa soluzione non è la più adatta, visto che gli algoritmi di cifratura sono pensati per altri scopi e sono, di norma, meno efficienti di altri algoritmi progettati per costruire un MDC. Inoltre, la dimensione dell'hash sarà limitata dalla dimensione del blocco dell'algoritmo di cifratura: per esempio, col DES sarà di 64 bit.

L'algoritmo MD5 è stato pubblicato nel 1991 con l'RFC 1321, ed è il successore dell'MD4. Per questo protocollo

• il messaggio ${\displaystyle m}$ può avere qualsiasi dimensione;
• la lunghezza del digest è di 128 bit;
• la funzione di compressione lavora con blocchi di dati da 512 bit.

Per ovviare al fatto che il messaggio potrebbe non essere lungo esattamente un multiplo della dimensione del blocco ${\displaystyle q}$, si ha un padding di questo tipo:

${\displaystyle |messaggio|1|00000\cdots 0|lunghezza-del-messaggio|}$

Quindi, il testo passato alla funzione di compressione è composto da

• il messaggio da proteggere;
• un bit a ${\displaystyle 1}$;
• tanti ${\displaystyle 0}$ quanto è necessario
• la lunghezza del messaggio, espressa in 64 bit. Da questo limite si ha che, se la lunghezza del messaggio è superiore, il numero contenuto in questo campo sarà espresso in modulo 64, cioè

${\displaystyle lunghezza=lunghezza-del-messaggio\cdot mod(64)}$

Nell'algoritmo MD5 non è prevista la trasformazione finale ${\displaystyle g}$, la funzione di compressione restituisce digest di 128 bit.

MD5 è molto veloce, ma la sua sicurezza sta diminuendo progressivamente. Nel 1996 è stato dimostrato che servono soltanto ${\displaystyle 2^{45}}$ tentativi prima di trovare due messaggi che collidono, al posto di ${\displaystyle 2^{\frac{128}{2}}=2^{64}}$, cioè un numero molto più basso. Con un processore P4 a 1,6 GHz (quindi, alla portata di tutti) bastano 8 ore per trovare due messaggi che collidono.

Template:Matematica voce

SHA-1 è un algoritmo MDC pubblicato nel 1993 con l'RFC 3174. Si ha:

• il messaggio deve essere lungo al massimo ${\displaystyle 2^{64}}$ bit;
• il risultato del digest è lungo ${\displaystyle n=160bit}$
• la dimensione del blocco della funzione di compressione è 512 bit.

SHA-1 è poco più lento di MD5, ma in compenso è considerato più sicuro. Oltre a SHA-1, esistono SHA-256, SHA-384 e SHA-512. Anche la sicurezza di SHA-1, come quella di MD5, sta scendendo. Ad oggi, sono necessari ${\displaystyle 2^{69}}$ tentativi per trovare due messaggi che collidano (comunque, più del limite teorico di MD5), mentre dovrebbero essere

${\displaystyle 2^{\frac{160}{2}}=2^{80}}$.

Template:Matematica voce

Ad oggi, MD5 è ancora molto usato. Usare SHA-1 è meglio che usare MD5, ma nel caso in cui si vogliano garanzie in più per il futuro, è meglio usare SHA-256 o superiori.

Con un processore P4 a 2,1 GHz, si riesce a calcolare la somma MD5 ad una velocità di

• 1716 Mbps con MD5;
• 609 Mbps con SHA-1;
• 409 Mbps con SHA-256;
• 186 Mbps con DES.

Un algoritmo MAC può essere derivato da un MDC, semplicemente inserendo anche la chiave ${\displaystyle k}$ all'interno del messaggio che si va a firmare. Ci sono diversi approcci:

${\displaystyle d=MA{C}_k(m)=MDC(m|k)}$

Usare questo approccio non è una buona idea. Supponiamo che un attaccante abbia a disposizione due messaggi che collidono con l'MDC, cioè esistono ${\displaystyle m^{\prime }}$ ed ${\displaystyle m^{″}}$ tali per cui

${\displaystyle MDC(m^{\prime })=MDC(m^{″})=d}$

In questo caso, si avrà sicuramente

${\displaystyle MA{C}_k(m^{\prime }|k)=MA{C}_k(m^{″}|k)}$

dal momento che la chiave ${\displaystyle k}$ viene usata soltanto all'ultima iterazione dell'algoritmo. A questo punto, all'attaccante basta convincere qualcuno a firmare il messaggio ${\displaystyle m^{\prime }}$ (cosa non difficile) per avere il messaggio ${\displaystyle m^{″}}$ firmato.

${\displaystyle d=MA{C}_k(m)=MDC(k|m)}$

Anche in questo caso, non abbiamo il MAC ideale. Infatti, risulta molto facile ricavare il digest ${\displaystyle d^{\prime }=MA{C}_k(m^{\prime })}$ a partire da un digest ${\displaystyle d=MA{C}_k(m)}$, dove si ha ${\displaystyle m^{\prime }=m|x}$, con ${\displaystyle x}$ un testo a piacere. Questo fatto non è immediatamente sfruttabile se l'MDC inserisce del padding, però è molto rischioso, non è sicuro.

Questo algoritmo è standardizzato dalla RFC 1828. Si tratta di usare l'algoritmo MD5 con

${\displaystyle MA{C}_k(m)=MD5(k|p|m|k)}$

dove ${\displaystyle p}$ è il padding necessario per avere un messaggio che sia multiplo di 512 bit. La chiave ${\displaystyle k}$ viene usata sia all'inizio che alla fine dell'MD5, in modo tale che il suo effetto si faccia sentire su tutto il digest e non si possa aggiungere del nuovo testo in coda.

Per quanto riguarda le performance, sono pari ad MD5 e, quindi, ottime; il problema è che, con un sufficiente numero di coppie ${\displaystyle <d_i,m_i>}$, un attaccante può arrivare a scoprire la ${\displaystyle k}$. Questo fatto non è impossibile, visto che sia il digest (la firma) sia il messaggio firmato sono spesso disponibili su internet, pubblicamente. Ancora una volta, meglio non usare l'algoritmo MD5 envelope.

Con la sigla HMAC si indicano tutte quelle funzioni MAC derivate da un algoritmo MDC secondo le specifiche dello standard RFC 2104. Si ha

${\displaystyle MA{C}_k(m)=HMAC-MD{C}_k(m)=MDC((k\oplus 0\cdots )\oplus c_1|MDC(k|0\cdots )\oplus c_2|m))}$

dove le grandezze ${\displaystyle c_1}$ e ${\displaystyle c_2}$ sono delle costanti. La sicurezza di questo protocollo è stata dimostrata dagli autori, quindi l'attacco più efficace risulta essere proprio quello per tentativi.

Template:Matematica voce

Questo attacco è possibile, ma impraticabile. Consideriamo di usare HMAC-MD5: Trudy dovrà memorizzare almeno ${\displaystyle 2^{64}}$ blocchi da 512 bit, tutti generati con la stessa chiave. Si tratta di ${\displaystyle 2^{73}}$ bit, cioè

${\displaystyle 2^{70}}$ byte -> ${\displaystyle 2^{60}}$ kB -> ${\displaystyle 2^{50}}$ MB -> ${\displaystyle 2^{40}}$ GB -> ${\displaystyle 2^{30}}$ TB

Considerando una connessione a 10Gbps (cioè, 10 volte superiore alla velocità limite delle più moderne schede di rete cablate), servirebbero circa 25000 anni per avere il 50% di probabilità di successo. Quindi, HMAC è il MAC da usare, è dimostrato essere sicuro.

• RFC 1321, algoritmo MD5 (in inglese) (5/12/2008 verificato funzionante)
• Elenco di attacchi che si possono compiere al protocollo MD5 (in inglese) (5/12/2008 verificato funzionante)
• RFC 3174, algoritmo SHA-1 (in inglese) (5/12/2008 verificato funzionante)
• RFC 1828, algoritmo MD5 envelope (in inglese) (5/12/2008 verificato funzionante)
• RFC 2104, algoritmi HMAC (in inglese) (5/12/2008 verificato funzionante)