Narozeninový útok

Narozeninový útok je v kryptografii typ kryptoanalytického útoku, jehož název pochází z matematicky vyřešeného narozeninového problému v teorii pravděpodobnosti. Útok slouží k nalezení kolize v kryptografické hašovací funkci f, což znamená nalézt dvě odlišné vstupní hodnoty x₁ a x₂ pro funkci f takové, že ƒ(x₁) = ƒ(x₂). Pro nalezení kolize jsou v tomto útoku náhodně vybírány vstupní hodnoty a vypočítávána z nich výstupní hodnota funkce f, přičemž se nalezení kolize předpokládá průměrně po vyhodnocení 1,25×√H různých vstupních hodnot.

Narozeninový problém[editovat | editovat zdroj]

Narozeninový problém říká, že má-li funkce f(x) určitý počet H různých výstupů, které mají stejnou pravděpodobnost výskytu ve výstupech a zároveň je H dostatečně velké, můžeme očekávat, že obdržíme stejný výstup funkce f pro různé vstupní hodnoty x₁ a x₂, kde ƒ(x₁) = ƒ(x₂) průměrně po vyhodnocení 1,25×√H různých vstupních hodnot.

Matematicky[editovat | editovat zdroj]

Ze sady H hodnot vybereme n hodnot, abychom dovolili rovnoměrné opakování. Označme p(n; H) pravděpodobnost, že během tohoto experimentu vybereme alespoň jednu hodnotu více než jednou. Pravděpodobnost pak můžeme aproximovat následovně:

p(n;H)\approx 1-e^{-n(n-1)/(2H)}\approx 1-e^{-n^{2}/(2H)},\,

Nechť n(p; H) je nejmenší počet hodnot, které je potřeba zvolit, aby byla pravděpodobnost nalezení kolize alespoň p. Inverzí předchozího výrazu získáme následující aproximaci:

n(p;H)\approx {\sqrt {2H\ln {\frac {1}{1-p}}}},

pokud položíme pravděpodobnost kolize rovnu 0,5, dostáváme:

n(0.5;H)\approx 1.1774{\sqrt {H}}.\,

Nechť Q(H) je požadovaný počet hodnot, které je třeba zvolit před nalezením první kolize. Toto číslo může být aproximováno jako:

Q(H)\approx {\sqrt {{\frac {\pi }{2}}H}}.

Pro názornost uvažujme 64bitové hašovací funkce, které poskytují přibližně 1,8×10¹⁹ různých výstupních hodnot. Pokud by pravděpodobnost všech těchto hodnot byla stejná (nejlepší případ), bylo by k nalezení kolize použitím brute force útoku zapotřebí „pouze“ okolo 5 miliard voleb (5,1×10⁹). Tato hodnota se nazývá narozeninová hranice a pro n-bitové kódy ji lze spočíst jako 2^n/2. Další příklady uvádí následující tabulka:

Bitů	Možné výstupy (H)	Požadovaná pravděpodobnost náhodné kolize (p)
Bitů	Možné výstupy (H)	10⁻¹⁸	10⁻¹⁵	10⁻¹²	10⁻⁹	10⁻⁶	0,1%	1%	25%	50%	75%
32	4,3×10⁹	2	2	2	2,9	93	2,9×10³	9,3×10³	5,0×10⁴	7,7×10⁴	1,1×10⁵
64	1,8×10¹⁹	6,1	1,9×10²	6,1×10³	1,9×10⁵	6,1×10⁶	1,9×10⁸	6,1×10⁸	3,3×10⁹	5,1×10⁹	7,2×10⁹
128	3,4×10³⁸	2,6×10¹⁰	8,2×10¹¹	2,6×10¹³	8,2×10¹⁴	2,6×10¹⁶	8,3×10¹⁷	2,6×10¹⁸	1,4×10¹⁹	2,2×10¹⁹	3,1×10¹⁹
256	1,2×10⁷⁷	4,8×10²⁹	1,5×10³¹	4,8×10³²	1,5×10³⁴	4,8×10³⁵	1,5×10³⁷	4,8×10³⁷	2,6×10³⁸	4,0×10³⁸	5,7×10³⁸
384	3,9×10¹¹⁵	8,9×10⁴⁸	2,8×10⁵⁰	8,9×10⁵¹	2,8×10⁵³	8,9×10⁵⁴	2,8×10⁵⁶	8,9×10⁵⁶	4,8×10⁵⁷	7,4×10⁵⁷	1,0×10⁵⁸
512	1,3×10¹⁵⁴	1,6×10⁶⁸	5,2×10⁶⁹	1,6×10⁷¹	5,2×10⁷²	1,6×10⁷⁴	5,2×10⁷⁵	1,6×10⁷⁶	8,8×10⁷⁶	1,4×10⁷⁷	1,9×10⁷⁷

Tabulka ukazuje množství hašů n(p) potřebných k dosažení dané pravděpodobnosti úspěchu za předpokladu, že jsou všechny hodnoty hašovací funkce stejně pravděpodobné. Pro srovnání: 10⁻¹⁸ až 10⁻¹⁵ je hodnota, která vyjadřuje počet neopravitelných chyb typického pevného disku. Teoreticky by 128bitový MD5 hash nebo UUID měly zůstat v tomto rozsahu až do množství 820 miliard dokumentů, i když počet možných výstupů této funkce je daleko vyšší.

Citlivost digitálního podpisu[editovat | editovat zdroj]

Digitální podpisy mohou být náchylné na narozeninový útok. Zpráva $m$ je typicky podepsána první vypočtenou $f(m)$ , kde $f$ je kryptografická hašovací funkce a poté používá tajného klíče k podepsání $f(m)$ . Předpokládejme, že Alice chce nalákat Boba do podepsání podvodného kontraktu. Alice připraví kontrakt $m$ a také jeden falešný $m'$ . Alice poté nalézá několik pozic, kde může $m$ změnit tak, aby zpráva neztratila svůj prvotní význam, například: čárky ve větách, prázdné řádky, jednu mezeru proti dvěma mezerám na konci věty, nahrazování synonym, atd. Po zkombinování těchto změn může vytvořit několik variací pro zprávu $m$ , které jsou všechny správné kontrakty.

Podobným způsobem Alice vytváří obrovské množství variací na podvodném kontraktu $m'$ . Poté aplikuje otiskovou funkci ke všem těmto variacím do té doby, než nalezne takový otisk, který bude pro oba kontrakty stejný: $f(m)=f(m')$ . Správnou verzi kontraktu předá k podepsání Bobovi. Poté, co Bob podepsal správný kontrakt, Alice vezme podpis a připojí jej k falešnému kontraktu. Tento podpis poté prokazuje, že Bob podepsal falešný kontrakt. Postup se mírně liší od původního narozeninového problému, protože Alice by nezískala ze dvou poctivých (nebo dvou falešných) kontraktů se stejným otiskem prospěch. Alice se snaží nalézt dva různé kontrakty (jeden poctivý a druhý falešný) se stejnými otisky.

Alice srovná každý nově nalezený otisk se všemi předchozími podvodnými otisky a nový podvodný otisk se všemi předchozími správnými otisky. Narozeninový problém používá $n$ různých výstupů. Proto počet otisků, které Alice ve skutečnosti vygeneruje je $2n$ .

Pro vyhnutí se tomuto útoku musí být délka otiskové funkce užívané pro schéma podpisu tak velká, že se narozeninový útok stává výpočtově neproveditelným, to jest dvakrát více bitů, než by bylo potřeba pro provedení útoku hrubou silou.

Pollardův rho algoritmus pro logaritmy je příkladem algoritmu používající narozeninový útok pro výpočet diskrétních logaritmů.

Externí odkazy[editovat | editovat zdroj]

"What is a digital signature and what is authentication? (Co je digitální podpis a co je autorizace)" z RSA Security krypto FAQ
"Parallel collision search with cryptanalytic applications (Hledání paralelni kolize s kryptoanalytickými aplikacemi) Archivováno 30. 12. 2008 na Wayback Machine., od Michaela Wienera a Paula C. van Oorschota