Брюс Шнайер: «Я бы предпочел, чтобы победителей в этом конкурсе не было». Источник: Geoffrey Stone/schneier.com |
Пока Национальный институт стандартов и технологий США (NIST) готовился объявить победителя в конкурсе на лучший хэш-алгоритм шифрования следующего поколения SHA-3 (Secure Hash Algorithm 3), прославленный криптограф Брюс Шнайер заявил, что в новой хэш-функции сегодня нет никакой необходимости (см. также «Назван победитель пятилетнего конкурса NIST на создание хэш-алгоритма SHA-3», Computerworld Россия, 3 октября 2012).
«Наверное, пытаться повлиять на окончательное решение уже поздно, но я бы предпочел, чтобы победителей в этом конкурсе не было, – отметил он. – И не потому, что новые хэш-функции не хороши, а потому, что в них нет реальной потребности».
Криптографические хэш-функции широко применяются в сфере информационной безопасности для гарантии подлинности данных. Эти функции преобразуют порцию данных в уникальную битовую последовательность фиксированной длины. При этом представить два различных сообщения в виде одной и той же строки невозможно.
Например, пароли пользователей обычно хранятся в базе данных в виде зашифрованной строки, с тем чтобы предотвратить их хищение при получении злоумышленниками доступа к базе данных. Всякий раз, когда пользователь вводит пароль, приложение вычисляет его хэш-функцию и сравнивает ее с тем значением, которое хранится в базе данных.
В ноябре 2007 года NIST объявил открытый конкурс на разработку лучшего хэш-алгоритма шифрования, чтобы впоследствии утвердить его в качестве федерального стандарта обработки информации (Federal Information Processing Standard, FIPS).
По прошествии пяти лет и трех отборочных раундов число претендентов сократилось с 64 до пяти, а победителя планировалось объявить в нынешнем году.
Шнайер входил в состав команды криптографов, создавших семейство хэш-функций шифрования Skein, которое оказалось в числе пятерки финалистов.
Идея стандартизации новой хэш-функции впервые появилась в 2006 году, когда возникли предположения, что семейство функций SHA-2 уже в ближайшем будущем не сможет обеспечить требуемый уровень безопасности вследствие появления новых методов криптоанализа.
«Тогда мы, конечно, не знали, как долго различные варианты SHA-2 смогут поддерживать нужную степень безопасности, – пояснил Шнайер. – Но сегодня на дворе уже 2012 год, а SHA-512 по-прежнему выглядит достаточно неплохо».
Предложение не называть победителя поступило еще и потому, что ни один из финалистов конкурса не смог предложить решения, которое существенно превосходило бы хэш-функции нынешнего стандарта.
«Что-то работает чуть быстрее, но различия не слишком существенны, – указал Шнайер. – Другие варианты в меньшей степени нагружают оборудование, но опять-таки разница не особо заметна. Когда объявлялся конкурс на создание SHA-3, я рекомендовал придерживаться старого испытанного стандарта SHA-512 до тех пор, пока улучшения не приобретут критичный характер. По крайней мере, в течение какого-то срока».
«Мы предупреждали, что люди вполне смогут прожить без SHA-3, обходясь стандартами SHA-1 и SHA-2, устойчивость которых к криптоанализу оказалась выше, чем ожидалось, – отметил криптограф Жан-Филипп Омассон, разработавший алгоритм BLAKE, тоже попавший в финал конкурса SHA-3. – Я часто говорил, что интерес к SHA-3 подогревается искусственно — в последние годы большинство криптоаналитиков уделяют больше внимания SHA-3, чем SHA-1 и SHA-2».
Омассон убежден, что в некоторых аспектах SHA-3 окажется более безопасным, чем SHA-2. Кроме того, выполнение таких алгоритмов, как Skein и BLAKE, на настольных компьютерах и серверах с новейшими процессорами Intel и AMD позволит заметно увеличить производительность.
«Все пять финалистов конкурса SHA-3 теоретически превосходят SHA-2, – подчеркнул Омассон. – Но если применять SHA-2 правильно, этот стандарт тоже обеспечивает достаточно высокую степень безопасности».
Тот факт, что ожидаемых атак на SHA-1 и SHA-2 так и не было зарегистрировано, внушает оптимизм, но криптографическому сообществу не стоит излишне обольщаться этим, – считает Мэтью Грин, преподающий криптографию в Институте информационной безопасности Джонса Хопкинса.
«Конкурс был направлен не только на поиск замены SHA-2, но и на разработку новых защитных технологий, которые помогли бы справиться с атаками, – заметил Грин. – Кроме того, это помогло нам расширить свои знания в области проектирования хэш-функции. Проделана очень большая и важная работа».
«В чем я абсолютно согласен с Брюсом, так это в том, что переход от SHA-2 к SHA-3 потребует времени, – подчеркнул Грин. – А положительное влияние конкурса заключается в том, что мы по крайней мере заложили основы для такого перехода».