Poznámky z hašovací futures panelu

08 Jul 12:22 pm


Original: http://www.proper.com/lookit/hash-futures-panel-notes.html

Druhý NIST Hash Workshop byl den a půl prezentací a diskuse o široké škále témat souvisejících s kryptografických hašovacích funkcí. Jak můžete vidět z programu jednání, se vztahuje témata, jako je navrhování nových hašovacích funkcí, útočící aktuální hašovací funkce hash určit, které funkce jsou důležité, a tak dále.

Na konci prvního dne, Arjen Lenstra z Ecole Polytechnique Fédérale de Lausanne a já společně moderovat panel s názvem “SHA-256 dnes a možná něco jiného během několika málo let: Účinky na výzkum a design”, a panelisté bylo mnoho ze světel v oblasti kryptografických hash. Pět účastníků byli Niels Ferguson od společnosti Microsoft, Antoine Joux z Université de Versailles Saint-Quentin-en-Yvelines (kdo dal klíčovou myšlenku na druhý den workshopu), Bart Preneel z Katolické univerzity v Lovani, Ron Rivest MIT, Adi Shamir a z Weizmann Institute of Science. Podle všeho poté, panel byl velký úspěch, se spoustou zajímavých pohledů a myšlenek vystavené v jedné hodině.

Mezi snímky, které jsme použili volně na panelu jsou zde. Lenstra dělal počáteční úvody, když jsem zápasila s PowerPoint, pak jsem se vztahovalo na logistiku (“držet své otázky až po hodině”), a pak jsme se ponořili do čtyř témat. Všimněte si, že otázky týkající se jednotlivých snímků bylo vytvořit diskusi, která není ve skutečnosti být zodpovězeny. Někteří z diskutujících přišli připraveni odpovídat na konkrétní otázky, ale většina jen to okřídlené, který pracoval skvěle. Některé jednotlivé otázky byly ignorovány, zatímco jiní byli zabývat do hloubky. Lenstra a já jsem každé ze čtyř témat na přibližně za 15 minut, i když panelisté tančila mimo hranice poměrně často.

Vzhledem k tomu, že Lenstra a já jsme byli na pódiu, ale nemohli jsme si poznámky o tom, co bylo řečeno. Na konci semináře jsem se ptal lidí, kteří užívali poznámky pošlete mi je a já bych shrnout anonymně. Dále je směs ze čtyř různých účastníků, kteří odpověděli (díky, přátelé!) A vlastní paměť. V některých případech, přesunul jsem výpisy z tématu, ve kterém, kde byly uskutečněny tématu, které skutečně zabývat.

Všimněte si, že následující je amalgám ze zpráv, nejsou přímými citacemi z přepisu. Některé níže uvedené tvrzení může být zcela nesprávné a pokud ano, omlouvám se předem.
Jaké problémy s SHA-1 a SHA-256 si skutečně čelit?

Shamir začal tím, že to byl problém vnímání: PR katastrofa, ale není to katastrofa crypto. Nejistota je problém i dnes. Přesto potřebujeme SHA-1 výměnu. Preneel poukazuje na to, MD5 bylo známo, že je slabý na dlouhou dobu, ale to je ještě používáno bez katastrofických následků.

Rivest říká, že musíme “ochrany do hloubky”: pečlivě parametrické konstrukce (například když je počet kol v kompresní funkci jako parametr), a možná budeme potřebovat obrovské bezpečnostní rezervu.

Preneel říká, že nemůžeme hodnotit SHA-256, protože nevíme, co napadne, že byl navržen k ochraně proti, nebo bezpečnostní rezervy předpokládalo. On také říká, že kolize dnes bude nakonec vést k nalezení vzoru útoků zítra. Ferguson říká, že tam je stín pochybností nad filozofii designu na MD / SHA-rodiny.

Na konci tohoto tématu, Joux říká, že nerozumí tomu, co děláme a že jsme opravdu nevím, co chceme, je zde shoda všech diskutujících.

Podíval jsem se do hlediště a zjistil, že mnoho lidí bylo trochu otřesený tomuto závěru. Nicméně, to stalo se poněkud téma pro zbytek dílny. Tento závěr byl komicky přepracovat další den v prezentaci Kristin Lauter od společnosti Microsoft, který citoval slova k Talking Heads písně “Road To Nowhere”:
Tak už víme, kam jdeme
Ale my nevíme, kde jsme byli
A víme, co máme vědět,
Ale nemůžeme říci, co jsme viděli
A my nejsme malé děti
A víme, co chceme
A budoucnost je jistá

 
Dejte nám čas, aby se k tomu dopracovat
Jaké vlastnosti hašovacích funkcí víme, že musíme na dlouhou dobu?

Ferguson zdůraznil, že chceme ochranu dlouhodobě, nikoli jen funkce, které nelze rozdělit se. Podpisy přes hash musí být platné pro více než 30 let.

Shamir říká, variabilní počet kol je podmínkou. AES s 10 koly byl řezání blízko. Proveďte počet kol proměnné.

Preneel říká kolize odpor je požadavek. Ferguson říká, že praktici používají hašovací funkce jako náhodné mapování, takže to je návrhová kritéria.

Rivest říká, že se zaměřuje na kompresní funkci důležitého. Joux souhlasil, a cítil, ale kolize odpor nemá smysl pro pevnou hašovací funkce: potřebujeme alternativní definici.

Preneel říká, že bychom se měli pokusit zbavit použití hašovacích funkcí na mnoha místech, kde nejsou potřeba, což nám může pomoci lépe zaměřit naše požadavky.

Shamir říká, že výstup by měl zůstat kolize odolná i při zkráceny.

Rivest navrhuje, že bychom měli přemýšlet o hašovacích funkcí, které pracují na celé zprávě najednou namísto blok po bloku. (Okrajová poznámka: tam byl trochu zmatek o podmínkách, kdy lidé začali mluvit o “streaming” a “non-streaming” a “in-memory” Někteří účastníci diskuse pocit, že potenciální nový hash konstrukce může být ten, ve kterém celý záznam. jsou rozházeny jsou uchovávány v paměti a pracoval jako o celku. Toto bylo nazýváno “non-streaming” a “in-memory”, na rozdíl od běžných “streaming” funkce, které pracují na bloku v době, držet nějaký stát z dříve zpracovány bloky). Shamir nebyl přesvědčen, že více přechází celé zprávě pomůže.
Měli bychom vytvořit jeden všestranný hash nebo více jednoúčelových hašovacích funkcí?

Panovala všeobecná shoda, že existuje enormní náklady na přidávání nových funkcí a měli bychom se zaměřit na jednu funkci pouze.

Preneel chce jedna funkce + parametry + + režimy Počet kol + výstup délka, možná bychom mohli oddělit kousky. Shamir souhlasí, ale nechce režim na pohrát s parametry pro kompresní funkci. Režimy, které nejsou černé skříňky mohou způsobit problémy.

Ferguson říká, že MD5 objeví asi 850 krát ve zdrojovém kódu systému Windows. OAEP si myslí, že má náhodné orákulum.

Joux chce jednu novou funkci, která emuluje náhodné orákulum, ale věří, že to není možné udělat s streaming, takže tam bude muset být celé zprávy a streamování příchutě.

Ferguson říká, non-streaming funkce nebude pracovat se stávajícími softwarových architektur jako CAPI Microsoftu.

Rivest říká, že rozdíly v síle tím, že má proměnný počet nábojů je užitečné. Preneel poukazuje na to, že low-end systémy, jako je RFID nemusí být schopen podporovat hashe s 512 bitů výstupu.
Jak můžeme navrhnout další algoritmus (s)?

Lenstra žádá bychom měli vylepšit nebo začít znovu, Shamir odpoví, že neví, jak začít znovu.

Lenstra vypráví o rozhovoru s Rivest a Shamir během přestávky na sněm zasedání po Wang poprvé oznámil svá zjištění. Lenstra zeptal se jim to musíme začít znovu, nebo musíme více vylepšení. Rivest je gut reakce byla “další” vychytávky, zatímco Shamirova to bylo “něco nového”. (Rivest říká, že si nepamatuje, jak říkal, že.)

Shamir se domnívá, že současná třída algoritmů je chybné, ale v tuto chvíli nemáme lepší algoritmy, budeme se muset podívat na ladění SHA-2.

Ferguson říká, že dělat velké pokroky, že se snaží, a obhajuje hash soutěž. Soutěž se soustředí odborné znalosti na konkrétní soubor procesu. Shamir říká, že si myslí, že většina AES položky nebyly revoluční. Rivest souhlasí s Fergusonem. Preneel říká, že v mnoha soutěžích, co vyšel nebyl o nic lepší než to, co se dovnitř Joux věří, že soutěž bude podporovat nové útoky na rodiny SHA a pomoci odpověď, zda je či není Merkle-Damgård přístup je mrtvý. Obecně platí, že bylo hodně nadšení s NIST uspořádat soutěž, ale zmatek o tom, jak by bylo nastavit.

Oba Rivest a Shamir chcete parametrizované hash. Shamir říká, že pouze parametrizovat počet kol. Joux říká streaming / non-streaming je dobrý parametr. Rivest chce parametry pro vstupní a výstupní velikost bloku, stejně jako počet kol. Rivest uvádí, že byl spálen v minulosti výkonnostních cílů.

Shamir říká, že nepoužívají AES-256, pokud máte obavy o kvantových počítačů a SHA-256 je dost dobrý z hlediska velikosti bloku. Joux si myslí, že vylepší SHA-256 je snadný způsob, protože nevíme, co dělat.

Ferguson říká, že non-cryptographers nemají odborné znalosti pro nastavení parametrů. Rivest říká, že budeme potřebovat silné doporučení, pokud budeme mít parametry. Shamir říká, že musíme rozšířit vnitřní stav, aby se zabránilo kolizím. Preneel říká, že bychom měli používat co jsme se naučili z blokové šifry, a rád Shamir je vylepšení, ale chce také vzít na sebe rizika v nových režimech od Merkle-Damgård.

 

Po panelu

Měli jsme 15 minut, Q & A, tak jsem povzbudil publikum skutečně klást otázky, nebo dělat krátké prohlášení, ne pontifikátu. Pouze jeden člen publika pontificated, a většina z nich má dobré otázky (to nikdo nebral poznámky …). Elaine Barker z NIST uvedla, že NSA by měla být učiní prohlášení v budoucnu o návrhu patentu na SHA-256 (US patent 6829355), které bylo uvedeno v posledním snímku.

Následující den, tam byla hodně diskuse o plánech na nových hašovacích funkcí a navrhovaným NIST hash konkurenci. NIST vyzývají lidi se připojit k jejich mailing listu diskutovat hash funkce a soutěže.

Comments are closed