Wann ist es schädlich für Hash

Eine zuverlässige kryptografische Hash-Funktion konvertiert Klartext in Text einer bestimmten Länge. Dies stellt die „Persistenz“ sicher: die Schwierigkeit, den ersten und den zweiten Prototypen wiederherzustellen. Oder im Klartext über die erste Eigenschaft, die Schwierigkeit, einen solchen Text zu erhalten, wobei der Wert der Hash-Funktion dem angegebenen Wert entspricht.

Unter der Komplexität der Wiederherstellung wird die Tatsache verstanden, dass zum Auffinden des ersten Prototyps [einer zuverlässigen kryptografischen Hash-Funktion] mindestens ein Durchschnitt abgeschlossen werden muss $$$2 ^ {n-1}$Hash-Operationen, bei denen $$$n$- Die Anzahl der Bits in der Ausgabe der kryptografischen Hash-Funktion. Bei einer modernen Hash-Funktion mit einer großen Ausgabegröße (ab 256 Bit) ist der Informationssystementwickler sicher, dass es unmöglich ist, die ursprünglichen Daten aus dem Hash-Funktionswert wiederherzustellen. Meistens hat er recht.

Es gibt jedoch eine Reihe wichtiger Fälle, in denen die Wiederherstellung des inversen Bildes oder sogar des Quelltextes trotz der Zuverlässigkeit der Hash-Funktion kein Problem darstellt. Dies ist der Fall, wenn die Verwendung einer Hash-Funktion sinnlos ist. Dies ist der Fall, wenn die Anzahl der Varianten des Quelltextes durchsuchbar ist .

Beispiel: Telefonnummer . Unterschiedliche Telefonnummern mit der Vorwahl "+7" und 10 Ziffern sind $$$10 ^ {10} \ ca. 2 ^ {33}$. Moderne Geräte, die für die Iteration über Hash-Werte optimiert sind, sortieren Millionen von Hashes pro Sekunde. Dies bedeutet, dass die Berechnung der Werte der Hash-Funktionen für alle möglichen Telefonnummern mit einer Vorwahl nicht länger als einige Sekunden dauert.

Beispiel: Kreditkartennummer (PAN, Zahlungskartennummer ). Häufig ist die Kartennummer maskiert und zeigt die ersten 4 (6) und / oder letzten 4 Ziffern an, während der Rest ausgeblendet wird. Die Karte besteht aus 16 Ziffern. Ist es möglich, die Kartennummern zu kreuzen, um sie vor dem Angreifer zu verbergen? Nein. Wenn ein Angreifer 8 Ziffern von 16 (die ersten 4 und letzten 4) sowie den Wert der Hash-Funktion von der vollständigen Kartennummer erhalten hat, kann er die vollständige Nummer in weniger als einer Sekunde wiederherstellen. Dazu muss er alles klären $$$10 ^ {8} \ ca. 2 ^ {26}$Anzahl Optionen.

Ein interessantes Beispiel mit einer E-Mail-Adresse . Es scheint, dass es aufgrund des Werts einer zuverlässigen Hash-Funktion unmöglich ist, die ursprüngliche Adresse wiederherzustellen. Die Anzahl der verschiedenen Varianten von 8 lateinischen Buchstaben und 10 Ziffern gibt es bereits $$$36 ^ 8 \ ca. 2 ^ {41}$Optionen für die Namen von Postfächern ohne Berücksichtigung verschiedener Domänen von Mail-Diensten ( @mail.ru , @gmail.com usw.). Wenn Sie andere zulässige Zeichen verwenden und die Adresse verlängern, stehen noch mehr Optionen zur Verfügung. Aber ... Bis 2006 funktionierte das Projekt Blue Frog (Blue Frog), das seinen Nutzern Anti-Spam-Schutz bot. Er nutzte die automatische Benachrichtigung der Anbieter über von ihren Servern gesendete Spam-Nachrichten, wodurch die Werbetreibenden gezwungen wurden, das Versenden von Spam-Nachrichten an mindestens die am Projekt beteiligten Adressen zu verweigern. Um zu verstehen, ob das Postfach dem Teilnehmer gehört oder nicht, wurde eine Datei mit einer Liste von Werten der kryptografischen Hash-Funktion von der Postfachadresse jedes Mitglieds verteilt.

Es wurde davon ausgegangen, dass Spammer jede ihrer Adressen überprüfen, um Werbung auf dieser Liste zu senden und gefundene Übereinstimmungen auszuschließen. Das Vorhandensein einer Datei mit den Werten der Hash-Funktion ermöglichte es Angreifern jedoch, genau das Gegenteil zu tun: Identifizieren Sie die Projektteilnehmer und senden Sie ihnen verstärkt bedeutungslose Nachrichten, um die Verwendung des Blue Frog-Projekts zu verweigern. Einige Zeit nach diesem Angriff (und auch nach anderen, einschließlich DDoS-Angriffen auf Server) stellte das Projekt seine Arbeit ein.

Nach wie vor wirkt sich die Verwendung von Salz, das mit dem Wert der Hash-Funktion geliefert wird, nicht auf die Aufzählungszeit aus (schützt jedoch vor Wörterbuchangriffen).

Mögliche Lösungen für die beschriebenen Fälle.

1. Hash nicht die Werte selbst, sondern die Verkettung des ursprünglichen Wertes und eines Geheimnisses getrennt gespeichert. Zum Beispiel nicht in der Datenbanktabelle (zusammen mit den Werten der Hash-Funktionen), sondern in der Anwendungsserverkonfiguration. Mit ähnlichem Erfolg können Sie anstelle von Hashing die Blockverschlüsselungsfunktion für einen geheimen Schlüssel verwenden.
2. Verwenden Sie Hash-Funktionen, die nicht nur zuverlässig, sondern auch langsam sind. Sowohl für den Kryptoanalytiker als auch für den legalen Nutzer. Ein Beispiel für solche Funktionen ist PBKDF2, bcrypt, scrypt, Argon2, für die wir beim Aufruf einer Funktion zusätzlich die Anzahl der Hash-Iterationen angeben. Wenn jedoch die Länge der Ausgabe der Hash-Funktion um nur ein Bit (von 256 oder 512) erhöht wird, erhöht sich die Komplexität des Angriffs des Kryptoanalytikers um eine binäre Ordnung (um den Faktor zwei), und die Anzahl der Iterationen für die Hash-Funktion PBKDF2 verdoppelt sich die Komplexität der Angriffe um nur zwei mal. Das heißt, das Erhalten eines Hash-Werts selbst durch einen legalen Benutzer wird hinsichtlich der Rechenressourcen und des Energieverbrauchs kostspielig.