Vlákno názorů k článku SHA-1 není bezpečná, Google ukázal kolizi od Aaa - Na konci článku píšete, že kolízia MD5 a...

Tímhle přístupem můžete dokázat, že MD5 i SHA-1 jsou stále bezpečné. Útok na obě dvě hashovací funkce ale spočívá v tom, že se nemusí počítat všechny možné kombinace, ale v té funkci byla nalezena jakási „zkratka“, takže těch možností, které je potřeba prohledat, je řádově méně. Protože MD5 i SHA-1 jsou ze stejné rodiny hashovacích funkcí, je možné, že bude existovat i nějaká „zkratka“, kvůli které nebudete muset porovnávat každou variantu MD5 s každou variantou SHA-1.

Žádný takový útok v současné době znám není, ale také ho nikdo nehledal. „Síla“ MD5+SHA-1 tedy nespočívá v tom, že by to byl silný algoritmus, ale prostě nikomu zatím nestálo za to to podrobit analýze. Je to velmi podobné tomu, když si někdo nějakou šifru nebo hashovací algoritmus splácá sám.

Každopádně používat dohromady MD5 a SHA-1 by se mělo jedině v případě, kdy opravdu není žádná jiná možnost. Nechápu, proč je tahle varianta v článku uvedená před SHA-2. Mělo by tam být, že je potřeba používat alespoň SHA-2, pokud to nejde, tak znovu řešit, jak použít SHA-2, když to opravdu nejde, tak to zkusit ještě jednou, a teprve kdyby neexistoval žádný způsob – tak už bych klidně zůstal u SHA-1, protože to stejně nemůže být nic kritického a z případné kolize nebude žádná škoda.

> Je to velmi podobné tomu, když si někdo nějakou šifru nebo hashovací algoritmus splácá sám.

Hashovací funkce h(x) = sha1(x) md5(x) bych přirovnával spíše k 3DES než k něčemu úplně home-made. (A ani 3DES není uplně dokonalé přirovnání.) Lze snadno dokázat, že je odolná kolizím minimálně stejně dobře jako ta lepší ze dvojice funkcí SHA-1 a MD5. (Umíte-li nalézt kolizi pro h, najdete takto kolizi pro sha1 i md5 současně.) To sice není kdovíco, ale pořád bych tomu věřil řádově více než něčemu úplně home-made. Z hlediska jiných útoků už je argumentace někdy o něco složitější, ale i tady bych tomu věřil řádově víc než úplně home-made funkci.

Pravda, kombinace SHA-1 a MD5 není úplně šťastná, protože obě funkce jsou Merkle–Damgård, obě mají stejnou délku bloku (512b) a obě mají snad i na chlup stejný padding. (Na padding jsem se díval v rychlosti, takže jsem nějaký rozdíl mohl přehlédnout.) Takže stačí „jen“ najít společnou kolizi v kompresních funkcích, a mám hotovo. Ale to asi nebude úplně snadné.

Uznávám taky, že ne vždy kombinace dvou funkcí pomůže. Někde jsem viděl útok na kombinaci MD5+CRC32. Fungovalo to přes tzv. multikolize, kdy (zjednodušeně řečeno) nalezením n kolizí v kompresní funkci vyrobím 2^n kolizí (2^n hodnot, kde všechny mají stejný hash). Když tedy skrze multikolize vyrobím 2^33 hodnot se stejným md5 hashem (při výkonu smartphonu to trvá orientačně 33*0.5 minuty = 16.5 minuty), mohu ve výsledcích hledat kolizi CRC32 hrubou silou a jistě ji tam najdu. Ironicky bude fáze hledání kolize CRC32 trvat nejspíš déle než hledání multikolize pro MD5, protože u CRC32 by případný rychlejší postup těžko zohlednil, že chceme současně kolizi MD5.

Podobný postup u SHA1+CRC32 už se trochu prodraží, i kdybychom chtěli prohledat „pouze“ 2^16 hodnot a doufat, že to u CRC32 vyjde.

U SHA1+MD5 by to teoreticky šlo, pokud akceptujeme cca poloviční šanci na úspěch* a obrovské náklady:
1. Nalezení multikolize SHA-1 (řekněme, že by nám stačilo 2^64 hodnot, tj. 64 kolizí, výměnou za cca poloviční pravděpodobnost úspěchu) by se prodražilo (řádově 6.4 milionu USD), i když by asi nebylo mimo realitu.
2. Projít 2^64 hodnot a najít zde kolizi MD5 by se prodražilo, i když by asi taky nebylo mimo realitu. Je to ale náročné nejen časově, ale i prostorově.
3. Výsledná kolize by byla 128 bloků dlouhá, tj. 128*64B=8KiB. I toto by někdy mohl být praktický problém.

Nemohu se ale ubránit pocitu, že pokud toto bude moje nejslabší místo, tak jsem na tom ještě dobře. Zkuste cenu tohoto útoku porovnat s cenou různých 0days. Navíc zde předpokládám, že kolizi kompresní funkce takto dovedeme počítat pro libovolný prefix, což se může po odhalení detailů útoku ukázat jako největší praktický problém.

Ale jinak samozřejmě doporučuji použít SHA-2 radši než MD5+SHA1. Kombinace MD5+SHA1 má smysl pouze v případě nějakých legacy záležitostí apod.

*) Díky narozeninovému paradoxu by pro poloviční šanci na úspěch mělo stačit prohledat cca 2^(n/2) hodnot, ačkoli prosím jistou kolizi potřebuju prohledat 2^n+1 hodnot.

Ano, home-made asi nebylo nejlepší přirovnání. Myslel jsem ty případy, když někdo začne amatérsky „vylepšovat“ nějakou kryptografickou funkci (použije jí opakovaně, do výsledku přimíchává globální klíč apod.), má pocit, že výsledek učinil řádově bezpečnější – a přitom se o výsledku jeho snažení dá prohlásit nanejvýš to, že není horší, než ta původní funkce, ze které vyšel. Pravda je, že tyhle pokusy často končí oslabením původní funkce, což není případ spojení MD5 a SHA-1.

Podstatou mého komentáře bylo to, co jste napsal dál – že o kombinaci MD5+SHA1 dnes víme akorát to, že není horší než lepší z těch dvou funkcí, v současné době tedy SHA1. Tedy použitím MD5+SHA1 dostanu stejnou bezpečnost, jako použitím samotného SHA1. Tedy přidáním MD5 se bezpečnost nezvýší, zvýší se jenom iluze bezpečnosti, což je vždy nebezpečné – protože se dotyčný nejspíš nechá ukolébat tím, že pro bezpečnost něco udělal, místo aby rovnou řešil přechod na SHA-2.