Amatöörit ja Pro Vie rakentamaan uuden Crypto-standardin

Viisitoistavuotias Peter Schmidt-Nielsen vietti vain kuukauden työskennellessään, mutta hän luulee keksineensä jotain "epätavallista ja uutta". Älkää ajatelko, että hän on vastaan ​​joitakin tunnetuimpia kriittisiä tutkijoita maailmassa.

Schmidt-Nielsen on yksi yli 60 osallistujaa, joiden odotetaan olevan nelivuotinen kilpailu poimimaan uusi hajautusalgoritmi, joka auttaa lukitsemaan salaus, jota kaikki käyttää Web-pohjaisista maksujärjestelmistä sähköpostin varmistamiseksi lähdekoodien hallintatyökaluihin.

National Institute of Standards and Technology -järjestön (NIST) sponsoroima kilpailu toivoo löytävänsä uuden kryptografisen hash-algoritmin korvata SHA-2 (Secure Hash Algorithm - 2) -algoritmi, jota NIST julkaisi kahdeksan vuotta sitten. SHA-3-lähetysten määräaika oli 31. lokakuuta, ja NIST toivoo leikkaavan kentän 15 tai 20 kilpailijalle elokuun loppuun mennessä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Schmidt-Nielsen ja muut tekevät työnsä maksamatta, kilpailee lähinnä arvovaltaa ja jännitystä nähdessään heidän työnsä analysoi heidän vertaisarvioijansa. "Uskon, että se on hauskaa", sanoi Schmidt-Nielsen, joka sai ensin salauksen 13-vuotiaana. "Se on todella mielenkiintoista katsoa, ​​että algoritmi on täysin repeytynyt."

ovat tunnettuja kryptografeja, kuten Bruce Schneier, BT: n turvallisuuspäällikkö ja Ron Rivest, joka keksi laajalti käytetyn MD5-hash-algoritmin.

Mutta mikä on hash-algoritmi joka tapauksessa?

Hashing on tietokoneen keskustelu löytää tapa ottaa esimerkiksi sanoma - esimerkiksi sähköpostiviesti - ja edustavat sitä yksilöllisellä numerolla, joka näyttää satunnaiselta. Hashingia kehitettiin keinona vähentää laskennan yleiskustannuksia, kun ohjelmat tekevät asioita, kuten tiedostojen skannausta, jos ne ovat muuttuneet. On paljon nopeampaa verrata kahden haja-arvon arvoa kuin skannata koko tiedostoja muutoksiin.

Kriittisessä hajautuksessa luku on salattu ja luodaan digitaalinen allekirjoitus, joka voidaan todentaa julkisen avaimen kryptografialla. Käytännössä näitä digitaalisia allekirjoituksia käytetään esimerkiksi vahvistamaan, että verkkosivusto on todella sivusto, jonka se väittää olevan, tai että sähköpostiviesti on henkilöstä, joka väittää lähettäneen sen, ja että sillä ei ole "

Shandongin yliopiston Wang Xiaoyunin johtamat tutkijat löysivät vuonna 2004 MD5- ja SHA-1-haja-algoritmien heikkouksia. He huomasivat, että oli helpompaa kuin oli ajateltu luomaan kaksi numeroa, joilla on sama hash-arvo. Salaustekstissä tätä kutsutaan törmäykseksi, ja sitä pidetään erittäin huonoa, koska se heikentää kryptografisen järjestelmän eheyttä.

"Kaikki on hermostunut", Rivest toteaa. tekniikkaa.

Nostradamuksen hakkeri osoitti, miksi ihmiset olivat hermostuneita: MD5: n avulla tutkijat pystyivät luomaan erilaisia ​​.pdf-tiedostoja, joilla oli sama hash-arvo. Tämän ongelman havainnollistamiseksi he julkaisivat PDF-tiedoston hash-arvon, joka sisälsi heidän Yhdysvaltain presidentinvaalien vuoden 2008 vaaleja, ja laati sitten pdf-tiedostoja jokaisen ehdokkaan nimillä, jotka kaikki jakavat saman samanhaun.

Jos Nostradamus-ihmiset voisivat käyttää törmäyksiä suorittaakseen hyökkäyksensä, rikolliset lopulta voisivat luoda väärennettyjä digitaalisia allekirjoituksia ja tehdä phoney-tietojenkalastelakohteista näyttävän täsmälleen. Esimerkiksi www.bankofamerica.com?

Min tahansa päivä, sanoi Bill Burr, johtaja NIST: n Security Technology Groupin kanssa. "SHA-1 ei ole tällä hetkellä niin rikki, että ajattelemme, että ihmiset voivat tehdä törmäyksiä, mutta odotamme törmäystä milloin tahansa", hän sanoi. "Täällä on käsitys, että meillä on ovi ja haava vuotaa, ja me pelkäämme, että meillä olisi todella tulva."

Vaikka viimeisimmässä SHA-2-algoritmissa "todennäköisesti pysyvät turvassa lähitulevaisuudessa", sillä on rajoituksia ja se perustuu vanhojen kryptografisten tekniikoiden käyttöön, sanoi Schneier, joka yhdessä muiden kanssa on lähettänyt Skein-nimisen hajautusalgoritmin. "Mielestäni on hyvä syy tehdä se."

Uuden haja-algoritmin valitseminen ei onnistu yön yli. NIST: n Burrin mukaan hän ei odota saavansa SHA-3-voittajaa vuoteen 2012 saakka, ja algoritmille voidaan kestää jopa kymmenen vuotta, mutta hän sanoo.

Mutta kilpailut, kuten NIST: t, eivät tule päivittäin, ja Burr sanoo olevansa vaikuttunut huomautuksista. Monet niistä, kuten Rivestin MD6-lähetys, hyödyntävät uusia moniprosessoreita käyttäviä tietokoneita, jotka ovat yleisesti saatavilla ja voivat olla nopeampia kuin nykyiset algoritmit.

"Se on vain hämmästyttävää työn määrästä, joka on mennyt johonkin näistä ehdotuksista" Burr sanoi: "Jotkut niistä näyttävät fantastisilta, jotkut näyttävät ehkä, että he tekivät 13-vuotiaan lapsen, ja kaikki on välillä."