Esistono collisioni note di un ID chiave OpenPGP "lungo" (64 bit)?

Question

Esistono collisioni note di un ID chiave OpenPGP "lungo" (64 bit)?

#1 da (4 voti)

2

Sappiamo che gli ID "OpenPGP" a 32 bit "corti" possono essere facilmente forzati a forza bruta e la raccomandazione è di utilizzare l'ID "a lungo" a 64 bit o l'impronta digitale SHA1 a 160 bit. Tuttavia, sono preoccupato che gli ID delle chiavi "lunghi" possano anche essere sottoposti a forza bruta in un futuro non troppo lontano.

Dato che una collisione sarebbe in genere un precursore di un attacco preimage di successo, sono noti alcuni esempi di collisione trovata per un ID chiave lungo?

brute-force key-management pgp gnupg openpgp

posta Jonathan Cross 23.11.2018 - 02:10

fonte

1 risposta

Leggi altre domande sui tag brute-force key-management pgp gnupg openpgp

Signal Protocol: come viene scambiata l'identità se non è ancora avvenuto uno scambio di chiavi? Come evitare gli attacchi man in the middle quando si inviano informazioni sensibili via e-mail?

score 4 · Accepted Answer

Gli ID OpenPGP sono porzioni dell'impronta digitale SHA-1, come definite nello standard . Un ID chiave breve corrisponde agli ultimi 32 bit e l'ID chiave lungo corrisponde agli ultimi 64 bit. Una collisione richiede in genere una media di 2 operazioni ^{n / 2}, dove n è la dimensione dell'hash in bit. Generare collisioni per ID brevi e ID lunghi è banale, richiedendo in media 2 operazioni ¹⁶ e 2 ³², rispettivamente. In questo caso, una collisione viene definita come la creazione di due input hash diversi che hanno digesti identici. In realtà è persino possibile scontrarsi con l'impronta digitale SHA-1 completa, come Google ha mostrato . Collidere una piena impronta digitale OpenPGP non richiede altro che scontrare un singolo hash SHA-1. Questo è difficile, ma possibile con una potenza di calcolo sufficiente.

Creare un preimage è diverso. A differenza di una collisione, un attacco preimage richiede la creazione di un input che corrisponda a un digest hash specifico. L'attaccante non può fornire entrambi gli input, solo uno, rendendolo un attacco molto più difficile. A differenza di un attacco di collisione, un attacco di preimage richiede 2 operazioni complete ⁿ per un hash di dimensioni n . Per questo motivo, la creazione di una preimage per un ID breve richiede solo 2 operazioni ³², che è decisamente banale. Fare lo stesso per un ID lungo richiede 2 operazioni ⁶⁴, il che non è facile, ma tutt'altro che impossibile. Fare lo stesso con l'intera impronta digitale a 160 bit è semplicemente impossibile con la tecnologia attuale.

In breve:

+-------------+-----------+------------+
|             | Collision |  Preimage  |
+-------------+-----------+------------+
| Short ID    |  Trivial  |    Easy    |
+-------------+-----------+------------+
| Long ID     |   Easy    |    Hard    |
+-------------+-----------+------------+
| Fingerprint |   Hard    | Impossible |
+-------------+-----------+------------+