למי ×©×œ× ×ž×¢×•×“×›×Ÿ ×‘×¢×•×œ× ×”×§×¨×™×¤×˜×•×’×¨×¤×™×”, עוד ××œ×’×•×¨×™×ª× ×”××©×™× ×’ התגלה כחלש, ל×חר שב-2005 × ×ª×’×œ×• עדויות שיש מצב ×©×”×•× ×‘×¢×™×™×ª×™ מתמטית. ×–×” ל×חר ×©×‘×—×•×“×©×™× ×”××—×¨×•× ×™× ×”×ª×’×œ×” ×©×’× ×ž×וד קל לייצר זיוף של MD5 (עדיין, ×œ× ×œ×”×‘×”×œ. ××œ× ×× ×›×Ÿ יוכיחו ×חרת, מידע ×©×—×ª×•× ×•×ž×•×•×“× ×’× ×¢× MD5 ×•×’× SHA-1, עדיין בלתי × ×™×ª×Ÿ לזיוף). משפחת ×”SHA-2 עוד ×œ× ×ž×ž×© החליפה ×ותו ×‘×ž×•×¦×¨×™× ×‘×©×•×§, ×בל כיון שמדובר במשפחת ×¤×•× ×§×¦×™×•×ª מ×וד דומות רק של יותר ביטי×, ×ין ×ž× ×™×¢×” ×©×’× ×–×” ×ולי יקרה בעתיד. ×‘×™× ×ª×™×™× ×™×© מרוץ לבחירה פתוחה ב××œ×’×•×¨×™×ª× ×©×™×§×‘×œ ×ת הציון SHA-3.
מה המשמעויות הפר×קטיות? ובכן פרויקט דבי×ן מבקש ×ž×”×—×‘×¨×™× ×œ× ×œ×”×¢×™×£ ×ת ×”××œ×’×•×¨×™×ª× ×ž×”×¡×¤×¨×™×•×ª ×›×™ עדיין רשת ×”×מון של מפתחות החתימה מבוססת עליו. ×‘×ž×§×•× ×–×ת, ×”× ×ž×ž×œ×™×¦×™× ×¨×שית להגר ×•×œ×—×ª×•× ×ž×—×“×© ×¢× ××œ×’×•×¨×™×ª× ×—×“×© יותר, למשל SHA512 ממשפחת SHA-2. לפי מפתח ×”PGP שלי, ×–×” ×ומר למשל ש×× ×™ צריך לבקש חתימה מחדש מחלק ×ž×”×—×•×ª×ž×™× ×”×•×ª×™×§×™× ×©×œ×™. ×בל ×œ×¤× ×™ שהלכתי לברר ×ילו מהחתימות צריכות ×¨×™×¢× ×•×Ÿ, מסתבר ש×× ×™ ×’× ×¦×¨×™×š לייצר מפתח חדש ×›×™ DSA1024 חייב לצ×ת ×’× ×”×•× ×œ×’×ž×œ×ות. דבי×ן ×ž×ž×œ×™×¦×™× ×¢×œ מפתחות RSA2048 ומעלה, וזה ×ומר ש-1675 מתוך 2243 מפתחי דבי×ן יצטרכו לייצר מפתחות חדשי×.
×‘× ×§×•×“×” זו, 95% מקור××™ הבלוג בווד××™ ברחו בצעקות של "מה רוצה ×ž×ž× ×™ המשוגע?! למה ×–×” ×ž×¢× ×™×™×Ÿ ×ותי?".
ובכן, ×‘×ž×“×™× ×ª ישר×ל ×§×™×™× ×œ×• חוק החתימה הדיגיטלית כבר 10 ×©× ×™×. ×œ× ×”×’×“×™×¨×• ×יך חותמי×, ב×ילו שיטות, ×יך ×ž×™×•×¦×¨×™× ×”×ž×¤×ª×—×•×ª, ×יפה ×”× × ×©×ž×¨×™×, ×יך ×”× ×ž×‘×•×˜×œ×™× ×•×›×•×œ×™, רק מוסבר שעל חתימה דיגיטלית ×פשר לסמוך יותר מ×שר על חתימה בכתב יד, ×’× ×‘×‘×™×ª משפט. ×ž×“×™× ×ª ישר×ל רוצה שלכל ×חד מ××™×ª× ×• ×™×”×™×” ×›×–×”, ×בל ×יך מיישמי×? ×× ×כן × ×’× ×‘ המפתח ×”×—×•×ª× ×ו ששיטת ×”×”×¦×¤× ×” והחתימה × ×—×œ×©×•×ª ×ו × ×¤×¨×¦×•×ª כמצוין לעיל, הרי שצריך עכשיו להפסיק לסמוך פת××•× ×¢×œ מ×ות ×ž×œ×™×•× ×™ חתימות על ×ž×¡×ž×›×™× ×©×‘×©×•×§, וצריך לייצר מפתחות ×—×“×©×™× ×œ×ž×“×™× ×” שלמה, ו×× ×©×™× ×™×¦×˜×¨×›×• להזדהות שוב מול ×”×ž×“×™× ×” ×¢× ×”×ž×¤×ª×— החדש… בלגן! רוב הסיכויי×, כמו ש×× ×—× ×• ×ž×›×™×¨×™× ×ž×ž×©×œ×•×ª, ×–×” ×©×”×¤×§×™×“×™× ×™×’×™×“×• "יקר מדי, ×œ× × ×•×¨× ×× ×™×©×ª×ž×©×• ברמת ×בטחה × ×ž×•×›×” יותר? מה כבר יכול לקרות?".
ולמה ×–×” יצליח לה×? בגלל ש×× ×©×™× ×œ× ×ž×‘×™× ×™× ×ת ×”×˜×›× ×•×œ×•×’×™×” ×•×”×˜×¨×ž×™× ×•×œ×•×’×™×”. הציבור ×œ× ×ž×‘×™×Ÿ ×•×œ× ×™×‘×™×Ÿ ×”×¦×¤× ×”. ×™×ª× ×• לו כרטיס ביד ויגידו לו "×ל ת×בד ×ותו" ×בל ×”×•× ×™×בד ×ותו. יגידו לו לזכור ×¡×™×¡×ž× ×•×”×•× ×™×©×›×— ×ותה. וזה במקרה הטוב.
במקרה הרע, צפויה ×œ× ×• מכת ×’× ×™×‘×•×ª זהות. ×™×•× ×חד תגלו ×©×ž×›×¨×ª× ×ת הבית, ×ו ×ž×©×›× ×ª× ×ותו ×•×œ× ×©×™×œ×ž×ª×, ×ו ×¡×ª× ×©×‘×ž×§×¨×” יש ×œ×›× 10 ×—×©×‘×•× ×•×ª ×‘× ×§ מעפולה עד בורות לוץ ×•×›×•×œ× ×‘×—×¨×™×’×” ולכן ×’× ×—×©×‘×•×Ÿ ×”×‘× ×§ הלגיטימי ×©×œ×›× ×ž×•×’×‘×œ.
×ומר ×œ× ×• שטרית, שחוק המ×גר הביומטרי ×™×רגן ×ת ×–×” ויגן ×¢×œ×™× ×•, ×בל ×× ×™ ו××—×¨×™× ×œ× ×ž××ž×™× ×™× ×©×–×” יקרה (×•×™×•× ×חד ××¡×™×™× ×›×‘×¨ ×ת הפוסט ×‘× ×•×©×), ×בל תחשבו על ×–×” שהמשמעויות של מערכות קריפטוגר×פיות גולש ×œ× ×• לחיי×, להצבעות ××œ×§×˜×¨×•× ×™×•×ª, לגישה ×ž×§×•×•× ×ª לממשל, ×בל ×× ×¨×•×‘× ×• המוחלט ×œ× ×ž×‘×™×Ÿ ×ת ×”×˜×›× ×•×œ×•×’×™×” שמתחת, ×יך יוכל ×זרח ×œ× ×¦×œ ×ת הכלי לשמירה על עצמו? לדעתי יש ×‘×§×™×¢×™× ×¤×” שר×וי ×œ×”× ×¤×•×¡×˜ ×™×•× ×חד, תקר×ו לזה הקדמה.
בדיוק אתמול התחלתי סוף-סוף לקרוא על hashing במסגרת מבצע "השלם לימודיך לאחר מילואים", וראיתי את ההתייחסות לכך ש-sha1 הוא בעייתי. לא ידעתי שגם MD5 חלש, אבל ממילא נטיתי להתייחס אליו רק כ"הדבר הזה לאימות הורדות".
תודה על ההסבר…
(ורק תיקון טקסט קל: "עדיין בלתי לזיוף" צ"ל "עדיין בלתי ניתן לזיוף".
תודה, תוקן.
אכן, לא רק לוידוי הורדות אלא גם לחתימות דיגיטליות, כולל תעודות SSL של הצפנת HTTPS, ולכן החלשה עד כדי יכולת זיוף של שתי פונקציות האש זו צרה.
ויש מי שמנצל את ההזדמנות לכוס קפה:
http://www.milliways.fr/2009/05/19/gpg-transition-29c0ffee
לרגע חשבתי שמדובר בהזמנת חברים לקפה על־מנת לבנות מחדש את רשת האמון. האיש באמת שתה 29 ספלים לבד?!
ובאמת, האם באה עלינו איזו מסיבת חתימת מפתחות בזמן הקרוב?
אוגוסט פנגווין, איי פרזיום. אני לא בסינכרון עם העולם, אני מקווה שעדיין הולך להיות פנגווין השנה? חייבים פנגווין, ולו בגלל מסיבת המפתחות!
בעוד שכולנו אוהבים להכות את הממשלה, אני חושש שלא קראת את חוק החתימה הדיגיטלית נכון.
מתוך החוק:
אתה מציין את העובדה שהחוק לא מכתיב טכנולוגיה כאילו זה דבר שלילי. נהפוך הוא. אם החתימות של מדינת ישראל ישתמשו ב-Sha-1, והוא אכן יישבר ברמה שבה החתימות יהיו חסרות תועלת, הרי ש-4 מהרשימה הנ"ל לא יתקיים, וממילא החתימה לא תחשב כחתימה אלקטרונית מאובטחת.
אפילו סעיף 3 מדבר על כך שהחתימה מהווה ראיה לכאורה. כלומר – ראיה המעבירה את נטל ההוכחה לצד השני. זה לא אומר שזו ראיה מוחצת או כזו שלא ניתן להפריך.
במובן זה, הסעיף המפחיד הוא סעיף 4. הוא בעצם אומר שמרגע שמדינת ישראל בחרה במנגנון חתימה אלקטרונית מסוים, צריכים בתי המשפט לראות בו כאילו הוא מאובטח. אתה יכול בקלות להתחמק מזה פשוט ע"י זה שלא תשתמש במנגנון הזה.
שחר
נ.ב.
כתבת ש"רק מוסבר שעל חתימה דיגיטלית אפשר לסמוך יותר מאשר על חתימה בכתב יד". לא מצאתי לזה סימן וזכר בלשון החוק. זו לא פעם ראשונה שאתה חוטא בעיוות עובדות כדי לקדם מסקנה מסוימת. זו התנהגות מאוד לא אינטלקטואלית.
צודק. אני הגזמתי בניסוח. השתמשתי בפירוש האישי של עו"ד אחד שאין לי רצון לברר למה היתה אז כוונתו. אני אוריד את הניסוח הבעייתי מהפוסט.