SHA-1 מט

למי שלא מעודכן בעולם הקריפטוגרפיה, עוד אלגוריתם האשינג התגלה כחלש, לאחר שב-2005 נתגלו עדויות שיש מצב שהוא בעייתי מתמטית. זה לאחר שבחודשים האחרונים התגלה שגם מאוד קל לייצר זיוף של MD5 (עדיין, לא להבהל. אלא אם כן יוכיחו אחרת, מידע שחתום ומוודא גם עם MD5 וגם SHA-1, עדיין בלתי ניתן לזיוף). משפחת הSHA-2 עוד לא ממש החליפה אותו במוצרים בשוק, אבל כיון שמדובר במשפחת פונקציות מאוד דומות רק של יותר ביטים, אין מניעה שגם זה אולי יקרה בעתיד. בינתיים יש מרוץ לבחירה פתוחה באלגוריתם שיקבל את הציון SHA-3.

מה המשמעויות הפראקטיות? ובכן פרויקט דביאן מבקש מהחברים לא להעיף את האלגוריתם מהספריות כי עדיין רשת האמון של מפתחות החתימה מבוססת עליו. במקום זאת, הם ממליצים ראשית להגר ולחתום מחדש עם אלגוריתם חדש יותר, למשל SHA512 ממשפחת SHA-2. לפי מפתח הPGP שלי, זה אומר למשל שאני צריך לבקש חתימה מחדש מחלק מהחותמים הותיקים שלי. אבל לפני שהלכתי לברר אילו מהחתימות צריכות ריענון, מסתבר שאני גם צריך לייצר מפתח חדש כי DSA1024 חייב לצאת גם הוא לגמלאות. דביאן ממליצים על מפתחות RSA2048 ומעלה, וזה אומר ש-1675 מתוך 2243 מפתחי דביאן יצטרכו לייצר מפתחות חדשים.

בנקודה זו, 95% מקוראי הבלוג בוודאי ברחו בצעקות של "מה רוצה ממני המשוגע?! למה זה מעניין אותי?".

ובכן, במדינת ישראל קיים לו חוק החתימה הדיגיטלית כבר 10 שנים. לא הגדירו איך חותמים, באילו שיטות, איך מיוצרים המפתחות, איפה הם נשמרים, איך הם מבוטלים וכולי, רק מוסבר שעל חתימה דיגיטלית אפשר לסמוך יותר מאשר על חתימה בכתב יד, גם בבית משפט. מדינת ישראל רוצה שלכל אחד מאיתנו יהיה כזה, אבל איך מיישמים? אם אכן נגנב המפתח החותם או ששיטת ההצפנה והחתימה נחלשות או נפרצות כמצוין לעיל, הרי שצריך עכשיו להפסיק לסמוך פתאום על מאות מליוני חתימות על מסמכים שבשוק, וצריך לייצר מפתחות חדשים למדינה שלמה, ואנשים יצטרכו להזדהות שוב מול המדינה עם המפתח החדש… בלגן! רוב הסיכויים, כמו שאנחנו מכירים ממשלות, זה שהפקידים יגידו "יקר מדי, לא נורא אם ישתמשו ברמת אבטחה נמוכה יותר? מה כבר יכול לקרות?".

ולמה זה יצליח להם? בגלל שאנשים לא מבינים את הטכנולוגיה והטרמינולוגיה. הציבור לא מבין ולא יבין הצפנה. יתנו לו כרטיס ביד ויגידו לו "אל תאבד אותו" אבל הוא יאבד אותו. יגידו לו לזכור סיסמא והוא ישכח אותה. וזה במקרה הטוב.

במקרה הרע, צפויה לנו מכת גניבות זהות. יום אחד תגלו שמכרתם את הבית, או משכנתם אותו ולא שילמתם, או סתם שבמקרה יש לכם 10 חשבונות בנק מעפולה עד בורות לוץ וכולם בחריגה ולכן גם חשבון הבנק הלגיטימי שלכם מוגבל.

אומר לנו שטרית, שחוק המאגר הביומטרי יארגן את זה ויגן עלינו, אבל אני ואחרים לא מאמינים שזה יקרה (ויום אחד אסיים כבר את הפוסט בנושא), אבל תחשבו על זה שהמשמעויות של מערכות קריפטוגראפיות גולש לנו לחיים, להצבעות אלקטרוניות, לגישה מקוונת לממשל, אבל אם רובנו המוחלט לא מבין את הטכנולוגיה שמתחת, איך יוכל אזרח לנצל את הכלי לשמירה על עצמו? לדעתי יש בקיעים פה שראוי להם פוסט יום אחד, תקראו לזה הקדמה.

7 תגובות בנושא “SHA-1 מט”

  1. בדיוק אתמול התחלתי סוף-סוף לקרוא על hashing במסגרת מבצע "השלם לימודיך לאחר מילואים", וראיתי את ההתייחסות לכך ש-sha1 הוא בעייתי. לא ידעתי שגם MD5 חלש, אבל ממילא נטיתי להתייחס אליו רק כ"הדבר הזה לאימות הורדות".
    תודה על ההסבר…
    (ורק תיקון טקסט קל: "עדיין בלתי לזיוף" צ"ל "עדיין בלתי ניתן לזיוף".

    1. תודה, תוקן.

      אכן, לא רק לוידוי הורדות אלא גם לחתימות דיגיטליות, כולל תעודות SSL של הצפנת HTTPS, ולכן החלשה עד כדי יכולת זיוף של שתי פונקציות האש זו צרה.

    1. לרגע חשבתי שמדובר בהזמנת חברים לקפה על־מנת לבנות מחדש את רשת האמון. האיש באמת שתה 29 ספלים לבד?!

      ובאמת, האם באה עלינו איזו מסיבת חתימת מפתחות בזמן הקרוב?

      1. אוגוסט פנגווין, איי פרזיום. אני לא בסינכרון עם העולם, אני מקווה שעדיין הולך להיות פנגווין השנה? חייבים פנגווין, ולו בגלל מסיבת המפתחות!

  2. בעוד שכולנו אוהבים להכות את הממשלה, אני חושש שלא קראת את חוק החתימה הדיגיטלית נכון.

    מתוך החוק:

    ‫"חתימה אלקטרונית מאובטחת" – חתימה אלקטרונית שמתקיימים בה כל‬ ‫אלה:‬
    (1) היא ייחודית לבעל אמצעי החתימה;‬
    ‫(2) היא מאפשרת זיהוי לכאורה של בעל אמצעי החתימה;‬
    (3) היא הופקה באמצעי חתימה הניתן לשליטתו הבלעדית של בעל‬ אמצעי החתימה;‬
    ‫(4) היא מאפשרת לזהות שינוי שבוצע במסר האלקטרוני לאחר מועד החתימה;‬

    אתה מציין את העובדה שהחוק לא מכתיב טכנולוגיה כאילו זה דבר שלילי. נהפוך הוא. אם החתימות של מדינת ישראל ישתמשו ב-Sha-1, והוא אכן יישבר ברמה שבה החתימות יהיו חסרות תועלת, הרי ש-4 מהרשימה הנ"ל לא יתקיים, וממילא החתימה לא תחשב כחתימה אלקטרונית מאובטחת.

    אפילו סעיף 3 מדבר על כך שהחתימה מהווה ראיה לכאורה. כלומר – ראיה המעבירה את נטל ההוכחה לצד השני. זה לא אומר שזו ראיה מוחצת או כזו שלא ניתן להפריך.

    במובן זה, הסעיף המפחיד הוא סעיף 4. הוא בעצם אומר שמרגע שמדינת ישראל בחרה במנגנון חתימה אלקטרונית מסוים, צריכים בתי המשפט לראות בו כאילו הוא מאובטח. אתה יכול בקלות להתחמק מזה פשוט ע"י זה שלא תשתמש במנגנון הזה.

    שחר

    נ.ב.
    כתבת ש"רק מוסבר שעל חתימה דיגיטלית אפשר לסמוך יותר מאשר על חתימה בכתב יד". לא מצאתי לזה סימן וזכר בלשון החוק. זו לא פעם ראשונה שאתה חוטא בעיוות עובדות כדי לקדם מסקנה מסוימת. זו התנהגות מאוד לא אינטלקטואלית.

    1. צודק. אני הגזמתי בניסוח. השתמשתי בפירוש האישי של עו"ד אחד שאין לי רצון לברר למה היתה אז כוונתו. אני אוריד את הניסוח הבעייתי מהפוסט.

Leave a Reply