День рождения моего лучшего друга
- 1 year ago
- 0
- 0
Ата́ка «дней рожде́ния» — используемое в криптоанализе название для метода взлома шифров или поиска коллизий хеш-функций на основе парадокса дней рождения . Суть метода состоит в значительном уменьшении количества передаваемых хеш-функции аргументов, необходимого для обнаружения коллизии, поскольку если хеш-функция генерирует n ‑битное значение, то число случайных аргументов хеш-функции, для которого с большой вероятностью будет обнаружена хотя бы одна коллизия хеш-функции (то есть найдётся хотя бы одна пара равных хеш-кодов, полученных на разных аргументах), равно не 2 n , а только около 2 n /2 .
Рассмотрим пример: будет ли у двух человек в группе, состоящей из 23 человек, одинаковый день рождения? Один год, исключая високосные годы, составляет 365 дней, поэтому существует 365 разных дней рождения, гораздо большее число, чем 23.
Если бы мы выбрали конкретный день, то вероятность того, что по крайней мере один человек родился в тот конкретный день, была бы , примерно 6,1 %. Однако вероятность того, что по крайней мере один человек имеет тот же день рождения, что и любой другой человек, составляет около 50 %, согласно формуле . При n = 70 вероятность такого совпадения составляет 99,9 %.
Для заданной хеш-функции целью атаки является поиск коллизии второго рода . Для этого вычисляются значения для случайно выбранных блоков входных данных до тех пор, пока не будут найдены два блока, имеющие один и тот же хеш.
Пусть — хеш-функция . Атака «дней рождения» успешна, если найдётся пара такая, что
Таким образом, если функция даёт любой из разных выходов с равной вероятностью и достаточно велико, то математическое ожидание количества пар различных аргументов для которых составляет . Оценку числа операций хеширования для поиска коллизии идеальной криптографической хеш-функции с размером выхода бит часто записывают как а не .
Пусть — вероятность того, что в группе из человек ( ) хотя бы двое имеют одинаковый день рождения.
Из первых двух членов разложения в ряд Тейлора функции при выполняется Заменив множители на получаем
Найдём число такое, чтобы
Следовательно,
Например, если используется 64-битный хеш, существует примерно 1,8 × 10 19 различных выходов. Если все они одинаково вероятны (лучший случай), то для создания коллизии с использованием грубой силы потребовалось бы «всего» около 5 миллиардов попыток ( 5,38 × 10 9 ). Другие примеры:
Биты | Возможные выходы (N) |
Желаемая вероятность случайной коллизии
(P) |
|||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
10 −18 | 10 −15 | 10 −12 | 10 −9 | 10 −6 | 0,1 % | 1 % | 25 % | 50 % | 75 % | ||
16 | 2 16 (~6,5 x 10 3 ) | <2 | <2 | <2 | <2 | <2 | 11 | 36 | 190 | 300 | 430 |
32 | 2 32 (~4,3 × 10 9 ) | <2 | <2 | <2 | 3 | 93 | 2900 | 9300 | 50 000 | 77 000 | 110 000 |
64 | 2 64 (~1.8 × 10 19 ) | 6 | 190 | 6100 | 190 000 | 6 100 000 | 1,9 × 10 8 | 6,1 × 10 8 | 3,3 × 10 9 | 5,1 × 10 9 | 7,2 × 10 9 |
128 | 2 128 (~3.4 × 10 38 ) | 2,6 × 10 10 | 8,2 × 10 11 | 2,6 × 10 13 | 8,2 × 10 14 | 2,6 × 10 16 | 8,3 × 10 17 | 2,6 × 10 18 | 1,4 × 10 19 | 2,2 × 10 19 | 3,1 × 10 19 |
256 | 2 256 (~1,2 × 10 77 ) | 4,8 × 10 29 | 1,5 × 10 31 | 4,8 × 10 32 | 1,5 × 10 34 | 4,8 × 10 35 | 1,5 × 10 37 | 4,8 × 10 37 | 2,6 × 10 38 | 4,0 × 10 38 | 5,7 × 10 38 |
384 | 2 384 (~3,9 × 10 115 ) | 8,9 × 10 48 | 2,8 × 10 50 | 8,9 × 10 51 | 2,8 × 10 53 | 8,9 × 10 54 | 2,8 × 10 56 | 8,9 × 10 56 | 4,8 × 10 57 | 7,4 × 10 57 | 1,0 × 10 58 |
512 | 2 512 (~1,3 × 10 154 ) | 1,6 × 10 68 | 5,2 × 10 69 | 1,6 × 10 71 | 5,2 × 10 72 | 1,6 × 10 74 | 5,2 × 10 75 | 1,6 × 10 76 | 8,8 × 10 76 | 1,4 × 10 77 | 1,9 × 10 77 |
Легко видеть, что если выходы функции распределены неравномерно, то коллизии могут быть найдены ещё быстрее. Понятие «баланс» хеш-функции количественно определяет сопротивление функции для атаки «дней рождения» (используя неравномерное распределение ключей). Однако определение баланса хеш-функции требует вычисления всех возможных входных данных и, таким образом, неосуществимо для популярных хеш-функций, таких как семейства MD и SHA.
К этой атаке, например, может быть уязвима электронная цифровая подпись . Допустим, что 2 человека — A и Б — хотят подписать контракт, но А хочет подсунуть Б поддельный вариант контракта. Тогда А составляет подлинный контракт и поддельный контракт. Далее посредством внесения допустимых изменений, не меняющих смысла текста (расстановкой запятых, переносов, отступов), А добивается, чтобы оба контракта имели одинаковый хеш. После этого А посылает Б подлинный контракт, Б его подписывает, а его подпись также показывает, что он подписал и поддельный контракт, так как оба контракта имеют одинаковый хеш. Для избежания уязвимости такого рода достаточно увеличить длину хеша настолько, чтобы стало вычислительно сложно найти 2 контракта с одинаковыми хешами. В частности, требуется в два раза большая длина хеша, чтобы обеспечить вычислительную сложность, сравнимую со сложностью полного перебора. Другими словами, если с помощью полного перебора злоумышленник может вычислить хеш-значений, то он начнёт находить хеш-коллизии для всех хешей длиной менее бит. (см. )
Чтобы избежать этой атаки, выходная длина хеш-функции, используемой для схемы подписи, может быть выбрана достаточно большой, чтобы атака «дней рождения» стала вычислительно неосуществимой, то есть примерно вдвое больше бит, чем необходимо для предотвращения обычной атаки методом «грубой силы» (полным перебором).
DNS — компьютерная распределённая система для получения информации о доменах . Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства).
Термином «рекурсия» в DNS обозначают алгоритм поведения DNS-сервера, при котором сервер выполняет от имени клиента полный поиск нужной информации во всей системе DNS, при необходимости обращаясь к другим DNS-серверам. В случае «рекурсивного» запроса DNS-сервер опрашивает серверы (в порядке убывания уровня зон в имени), пока не найдёт ответ или не обнаружит, что домен не существует (на практике поиск начинается с наиболее близких к искомому DNS-серверов, если информация о них есть в кэше и не устарела, сервер может не запрашивать другие DNS-серверы).
В 2002 году Вагнер Сакраменто опубликовал рекомендацию, показывающую одну проблему с внедрением BIND протокола DNS. Он обнаружил, что BIND отправляет несколько одновременных рекурсивных запросов для одного и того же IP-адреса.
Атакующий отправляет запрос на DNS-сервер жертвы. Он выбирает доменное имя, которое DNS-сервер A не может найти в своем кеше и вынужден пересылать на следующий DNS-сервер B. Каждый обмен разрешениями между A и B аутентифицируется через случайный идентификатор TID. Прежде чем DNS-сервер A сможет получить пакеты ответов с DNS-сервера B, атакующий отправляет N поддельных ответных пакетов на DNS-сервер A. Если один из этих поддельных пакетов имеет тот же TID, что и идентификатор TID DNS-сервера A, то поддельные пакеты будут приняты сервером A за действительные пакеты. Реальный ответ от DNS-сервера B не будет обрабатываться DNS-сервером A. Таким образом, атакующий может «отравить» кеш DNS-сервера A, чтобы отобразить взломанный домен на IP-адрес, указанный атакующим.
При обычной атаке злоумышленник отправляет N поддельных ответов для одного запроса, вероятность успеха равна (TID — 16-битное число).
Атака методом «дней рождения» позволяет выполнить взлом протокола BIND легче. Атакующий отправляет большое количество N запросов на DNS-сервер жертвы, всё одно и то же имя домена. Мы отправляем N поддельных ответов для N запросов. Отсюда вероятность того, что атака будет успешной, равна
Хорошей эмпирической закономерностью , которую можно использовать для быстрой оценки в уме , является соотношение
которое также может быть записано как
или
Это приближение хорошо работает для вероятностей, меньших или равных 0,5.
Указанная схема аппроксимации особенно проста в использовании при работе с показателями. Например, пусть необходимо оценить, сколько документов можно обработать 32-битной хеш-функцией ( ), чтобы вероятность коллизии составляла не более одной миллионной ( ). Оценка наибольшего возможного числа документов для таких условий составляет
что близко к правильному ответу 93.
Предположим, что для атаки на 64-битный блочный шифр злоумышленнику нужно получить две пары открытого/шифрованного текста, которые отличаются только в наименее значимом бите. Интерпретация этой задачи в терминах парадокса дней рождения приводит к выводу, что пространство из всего лишь известных открытых текстов с высокой вероятностью будет содержать необходимую пару .
В качестве другого примера рассмотрим цикл 64-битового Фейстелева шифра . Предположим, что в шифре использована случайная функция F (32 в 32 бита). Нападающий может захотеть узнать, как много ему необходимо получить открытых текстов для получения коллизии функции F . Согласно парадоксу дней рождения, для этого придётся перебрать около открытых текстов .
Одним из следствий парадокса дней рождения является то, что для n -битового блочного шифра повторяемые появления блока шифротекста могут ожидаться с вероятностью около 0,63 при наличии лишь случайных открытых текстов, зашифрованных на одном ключе (независимо от размера ключа). Для ECB-режима при совпадении двух блоков шифротекста соответствующие открытые тексты обязаны также совпадать. Это означает, что в атаке с известным шифротекстом информация об открытых текстах может раскрываться из шифротекстовых блоков.