Kryptographische Hashalgorithmen Pache Axel: apache@cosy.sbg.ac.at Matr.: 0021226 Butt Usman: ubutt@cosy.sbg.ac.at Matr.: 0020011 Finder Victor: vfinder@cosy.sbg.ac.at Matr.: 0020302 Vuray Thomas: tvuray@cosy.sbg.ac.at Matr.: 0020085

Übersicht Hashfunktionen MDC/MAC Anforderungen an Hashfunktionen MD4 SHA/SHA1 CBC-Based MAC Angriffmöglichkeiten

Grundlagen Hashfunktionen Definition: Eine Hashfunktion h bildet eine Nachricht x auf einen Hashwert h(x) ab und muss folgende Eigenschaften erfüllen: Kompression (compression): Die Funktion h bildet von einer Nachricht beliebiger Länge auf einen Hashwert fester Länge ab. leichte Berechenbarkeit (ease of computation): Bei gegebener Hashfunktion h und Nachricht x muss es leicht sein (Rechenaufwand) h(x) zu berechnen.

Datenintegrität- und Authentifizierung Datenintegrität: Dient dazu sicherzustellen, ob Daten auf ihrem Übertragungsweg unrechtmässig manipuliert worden sind. Datenauthentifizierung: Dient dazu festzustellen, ob eine Nachricht von einer bestimmten Quelle stammt.

Keyed- unkeyed Hashfunctions Bei kryptographischen Hashfunktionen unterscheiden wir: unkeyed Hashfunctions (MDC) haben als Eingabeparameter lediglich die zu codierende Nachricht x. keyed Hashfunctions (MAC) haben als Eingabeparameter die zu codierende Nachricht x und einen Schlüssel k.

Modification Detection Code (MDC) Bei MDC s unterscheidet man zwischen: One Way Hashfunctions (OWHF) preimage resistance, 2nd preimage resistance Collision resistant Hashfunctions (CRHF) 2nd preimage resistance, collision resistance

Modification Detection Code (MDC) II An MDCs werden folgende Anforderungen gestellt: Sicherheit des Urbilds (preimage resistance): Zu einem gegebenen Hashwert y ist es nicht möglich eine Nachricht x' zu finden sodass gilt h(x') = y

Modification Detection Code (MDC)III Sicherheit des Abbilds (2nd preimage resistance): Zu einem gegebenem Input x, ist es nicht möglich eine zweite Eingabe x' zu finden, sodass für alle x'≠x gilt: h(x) = h(x') Kollisionssicherheit (collision resistance): Es ist nicht möglich 2 beliebige Eingaben x, x' zu finden: sodass gilt: h(x) = h(x')

Message Authentication Code (MAC) An MACs werden folgende Anforderungen gestellt: Nichtberechenbarkeit (computation resistance): Es ist nicht möglich aus gegebenen Text-Hashwert-Paaren (x, hk(x)) neue Paare (x', hk(x')) abzuleiten, für die gilt: x ≠ x'.

Der MD4 Algorithmus Message Digest (MD) wurde von Ron Rivest entworfen. MD2 bzw. MD4 wurden anhand auftretender Schwachstellen weiter entwickelt. Der MD4 Algorithmus, welcher die Basis für SHA bildet, wurde 1990 entwickelt. 128bit Hashwert. Für 32bit Architekturen entworfen. kompakte Codierung.

Die MD Familie

MD4 vs. MD5 (Unterschiede) MD5 stellt eine Weiterentwicklung von MD4 dar. eine zusätzliche Runde wurde eingefügt unterschiedliche Funktionen und Konstanten Arbeitsschritte ähnlich MD4

Der MDC-2 Algorithmus Modification Detection Codes 1988 entwickelt von IBM Einweghashfunktion Anwendung mit DES (Data Encryption Standard ) zwei Verkettungsvariablen Hashwert

Der MDC4-Algorithmus MDC-4 unterscheidet sich von MDC-2 nur dadurch, dass auf das Ergebnis die gesamte Operation ein weiteres Mal mit vertauschten Rollen angewendet wird.

Der SHA Algorithmus Secure Hash Algorithm Wurde vom NIST (National Institute of Standards and Technology und National Security Agency (NSA) entwickelt Einweg-Hashfunktion für Digital Signature Standard (DSS) Der Standard heißt Secure Hash Standard (SHS) 264 Bits maximaler Länge Hashwert der Länge 160bit Prinzip des Message Digest

Sicherheit des SHA-Algorithmus Durch 160bit Hash wesentlich wiederstandsfähiger gegen Brute- Force- Angriffe Angriffe wie die von Dobbertin gegen MD4, MD5 sind zur Zeit keine bekannt.

Vergleich von MD5 und SHA MD5 SHA Ergebnislänge: 128bit 160bit Eingabeeinheit: 512bit 512bit # Schritte: 64 80 # nichtlinearer Funktionen: 4 3 # Additionskonstanten: 64 4

SHA vs. SHA-1 (Unterschiede) Wurde von NIST und NSA im April, 1995 entwickelt. SHA-1ist die Revision vom 1992 veröffentlichen SHA, die eine nichtpublizierte Schwäche korrigiert. Eigenschaften: hoch entwickeltere Aufbereitung der Anzeige Wörter Etwas langsamer als MD5 dafür sicher Benutzt fünf 32bit Register statt vier.

MACs basierend auf Blockchiffrier Algorithmen Viele bekannte MACs basieren auf einem Blockchiffrier Algorithmus in Kombination mit cipher-block-chaining (CBC)

CBC-MAC Input: Nachricht x, Blockchiffrierung , geheimer MAC-Schlüssel k für . Output: n-bit MAC für die Nachricht x wobei n die Blocklänge von  darstellt. Padding: Nachricht x wird in n-bit Blöcke zerlegt und falls nötig mit einer 1 und der notwendigen Anzahl an 0 gepaddet.

CBC-MAC II CBC-Berechnung: k bezeichnet die Chiffrierung unter Verwendung von  mit dem Schlüssel k. Die Anzahl der Nachrichten Blöcke der Grösse n werden von t dargestellt. Der MAC Wert wird folgendermasen berechnet: H1 =  k(xi) Hi =  k(Hi-1 XOR xi ); 2≤i≤t

Verschiedene Übertragungsmöglichkeiten

Angriffsmöglichkeiten auf Hashalgorithmen

Angriffsmöglichkeiten auf Hashalgorithmen II Grundsätzlich wird unterschieden zwischen Verfahren, die Schwachstellen im Algorithmus ausnützen und unabhängige Angriffsmöglichkeiten. Für eine n-bit Hashfunktion h kann man annehmen, durch zufälliges Probieren nach 2n Versuchen ein preimage oder 2nd-preimage zu finden.

Angriffsmöglichkeiten auf Hashalgorithmen III Kollisionen können mit 2n/2 Versuchen gefunden werden. Algorithmus unabhängige Angriffe: -Birthday-attacks: Haben das Ziel Kollisionen in Hashfunktionen zu finden. Dabei wird das Prinzip des Geburtstagsparadoxons ausgenützt. (Brute-force Angriff).

Referenzen Handbook or Applied Cryptography A. Menezes, P. van Oorschot, S. Vanstone CRC Press 1996 http://www.cacr.math.uwaterloo.ca/hac Cryptographic Hash Functions: A Survey S. Bakhtiari, R. Safavi-Naini, J. Pieprzyk

Ende