Andere allgemein verwendete Durcheinanderfunktionen schließen 128-bit MD5 von RSA Data Security, Inc. mit ein, das ein sehr schnelles und allgemein eingeführtes Durcheinander ist. MD5 wird traditionsgemäß verwendet, um Linux Benutzerkennwörter zu verschlüsseln (hackt Anfang mit dem "$1$" Buchstaben), Wegewahlprotokolle wie RIPv2 und OSPF zu beglaubigen, Prüfsummen von binaries in RPMs zu verursachen, und die Vollständigkeit der Free/OpenBSD Torakten zu überprüfen. Die Spezifikationen von MD5 sind in RFC 1321 vorhanden. Bewirten Sie Eindringenabfragung Werkzeuge wie Tripwire (http://www.tripwire.com) Gebrauch MD5, Snapshots der Akten eines Systems zu nehmen und sie in einer Datenbank (die zu konservieren verschlüsselt werden muß), um festzustellen wenn irgendwelche der Akten des Systems durch Cracker geändert wurden. Tripwire eines armen Mannes ist der md5sum Befehl, der auf vielen UNIX-wie Systemen vorhanden ist. Ein Vorgänger von MD5, MD4 ist sehr schnell, aber es war im Oktober 1995 defekt. Leider verwendet MS-CHAP noch MD4 hackt sogar in seiner zweiten Version, und Protokolle wie 802.1x EAP-LEAP, die auf MS-CHAP beruhen, können zu den Angriffen gegen MD4 verletzbar sein. Seit 1995 hat es ernste Zweifel über die Sicherheit von MD5 gegeben und anderes Verschlüsselungsdurcheinander 128-bit rechnet aus, und der Gebrauch mindestens 160-bit hackt wird empfohlen. Sie können die Sicherheit Ihres MD5 überprüfen hacken mit dem MD5Crack Werkzeug, das für Download von http://www.checksum.org/download/MD5Crack vorhanden ist (dieses ist die kompilierte Windows Version des Werkzeugs; UNIX Quellenprogramm kann von http://www.packetstormsecurity.org downloadet werden).
|
|
Abgesehen von SHA-1 und stark, gibt es andere recht sichere, einschließlich HAVAL (mit variabler Längedurcheinanderwerte) zu verwenden Verschlüsselungsdurcheinanderziffern,, RIPEMD und Tiger. RIPEMD von der EU-Projekt Rennen-Vollständigkeit Primitiv-Auswertung (REIF) besteht aus zwei parallelen Prozessen MD5, die für fünf Umläufe laufen und ein Durcheinander 160-bit produzieren. RIPEMD gilt als so sicher wie SHA-1 und wird von Nessus in Verbindung mit Twofish verwendet. Tiger wurde von der Schlangeentwicklung Mannschaft entworfen und wird optimiert, um auf 64-bitspäne zu laufen, auf denen es ungefähr 2.8mal schneller als RIPEMD und 2.5mal schneller als SHA-1 ist. Tiger produziert ein Durcheinander 192-bit, obgleich weniger-sicher 128- und Varianten 160-bit dieser Ziffer bestehen.
Allgemeiner Block, den symmetrische Ziffern als das Einweg auch verwendet werden können, hackt mit wenigen Ausnahmen (z.B., Blowfish). Tatsächlich war In der LageSEIN, eine symmetrische Ziffer als Verschlüsselungsdurcheinander einzuführen einer der Bedingungen, die ein AES Anwärter treffen mußte. Könnend, Verschlüsselungs Arbeit hackt, ist es einfach, zu sehen, daß es nichts gibt, das über das Verwenden einer symmetrischen Ziffer des Blockes in solch einer Rolle supernatural ist: Liefern Sie eine Konstante, verwenden Sie die Eingang Daten, um subkeys zu erzeugen, und laufen Sie. Jedoch, gibt es keinen Grund, AES oder MARS und so weiter, als Einwegdurcheinander zu benutzen, wenn gut entworfene spezifische Verschlüsselungsdurcheinanderalgorithmen wie SHA bestehen.
Verschlüsselungsdurcheinanderziffern sind entworfen, um große Datenmengen schnell zu verarbeiten; z.B. Daten hackt zu hacken und hinzuzufügen zu den Paketüberschriften schnell, während die Pakete über das Netz gesendet werden. Die Verarbeitung Rate der Verschlüsselungsdurcheinanderziffern in MB/sec ist im Allgemeinen mit der Verarbeitung Rate der Stromziffern wie RC4 vergleichbar und ist 1.5 bis 2mal über der Verarbeitung Rate von AES. Offensichtlich gibt es eine Leistung Strafe für das Verwenden sichereres, größer hackt, und MD5 würde einen höheren Datendurchsatz als Tiger (auf 32-bit CPUs) oder SHA-1 haben.
Verschlüsselungs hackt sind fein, Datenintegrität über Datenfingerabdruck zu unterstützen oder Benutzer gegen Datenbanken der gehackten Kennwörter zu kennzeichnen. Jedoch durch selbst beglaubigen sie nicht die Daten selbst; der Angreifer kann die ursprünglichen Daten ändern, bevor Hashing stattfindet. Eine mögliche Lösung für dieses Problem verwendet ein HMAC, auch genannt eine befestigte Anzeige Auswahl. Ein HMAC ist nichts mehr als ein Verschlüsselungsdurcheinander und ein geteilter geheimer Schlüssel, die kombiniert werden. So erhalten die Daten verschlüsselt, bevor sie gehackt wird, und der Angreifer würde den symmetrischen Zifferschlüssel, nachdem er die ursprüngliche Anzeige vom Durcheinander, brechen erzeugt hatte oder den symmetrischen Zifferschlüssel brechen müssen, wenn er oder sie Zugang zu den Daten haben, bevor Hashing stattfindet. Ein Beispiel des Anzeige Authentisierung Codes entwarf spezifisch für das Verbessern der drahtlosen Sicherheit ist Michael (MIC).
MIC: Schwächer Aber Schneller
Das Hauptproblem, das im Design von MIC angetroffen
wurde, entwickelte ein HMAC, das auf Vermächtniskleinteile laufen
würde, ohne bedeutende Strafen Netzdurchsatz und -latenz
aufzuerlegen. Die Klient Wirte können die HMAC Berechnung zum
genug leistungsfähigen Laptop oder sogar ZU PDA CPU ausladen, obwohl
sie noch nicht wünschenswert ist! Was, wenn eine Firma
entscheidet, ein kleines bewegliches Telefon 802.11-enabled zu
entwerfen und herzustellen? Außerdem rühmen sich viele
Zugangspunkte nicht stark Verarbeitungsleistung. Jedoch sollten
das AP oder eine drahtlose Brücke in der LageSEIN, Vollständigkeit
und Echtheit der überbrückenden Pakete zu überprüfen.
Erinnern an Sie die Struktur von SHA mit seinen 80
Wiederholungumläufen und stellen Sie vor sich, solch ein
Durcheinander für jedes Paket zu erzeugen, das über das drahtlose
Netz gesendet wird. Würden ein allgemeiner Zugangspunkt oder
ein PDA in der LageSEIN, diesen Prozeß ohne bedeutende
Hilfsmittelabführung einzuführen? Nicht sehr wahrscheinlich!
So wurde ein völlig neuer benannter Algorithmus MIC von Niels Ferguson entworfen, um die Paketvollständigkeit Überprüfung und Fälschung Abfragung auf TKIP-ermöglichtem WLANs zur Verfügung zu stellen. Er war wie ein dritter Versuch, nach zwei vorhergehenden Designs entworfen, die Mickey und Michelle genannt wurden. MIC ist ein Kompromiß zwischen Sicherheit und Hilfsmittelverbrauch und -implementierung Fähigkeit. Er läuft in den älteren drahtlosen Zugangspunkten und in den Klient Kleinteilen, ohne eine bedeutende Leistung Strafe aufzuerlegen, aber das Sicherheit Niveau, das sie zur Verfügung stellt, ist nur 20 Bits. Wie Sie jetzt verstehen sollten, in den modernen Verschlüsselungsbezeichnungen ist dieses nicht viel.
Bevor der Kompromiß und seine praktischen Resultat Möglichkeiten besprochen werden und erlernen, wie Arbeiten MIC nützlich ist. Das Schlüssel Geheimnis MIC besteht aus 64 Bits und wird dargestellt, während eine 8-byte Reihenfolge k0... k7. diese Reihenfolge in zwei 32-bit kleine-Endian Wörter, K0 und K1 umgewandelt wird. Während des Designs MIC verwenden alle Umwandlungen zwischen Bytes und 32-bit Wörtern die Kleinen-Endian Versammlungen, weil die Ziffer erwartet wird, um auf Kleines-Endian CPUs zu laufen. Tatsächlich stellte die Mehrheit einen Zugangspunkten jetzt Gebrauch ältere Intel Linie Späne wie i386 oder i486 her.
MIC läßt an die Daten auffangen, sowie Quelle laufen und Zieladresse fängt vom drahtlosen Rahmen auf. Die Vollständigkeit von IVs wird nicht geschützt und die Daten fangen werden gedeutet nicht auf. Bevor die Ziffer läuft, wird der Rahmen am Ende mit einem einzelnen Byte (Wert 0x5a) aufgefüllt, gefolgt von 4 bis 7 nullbytes. Die Zahl nullbytes wird vorgewählt, um sicherzugehen, daß die gesamte Länge des aufgefüllten Rahmens immer eine Mehrfachverbindungsstelle von vier ist. Das Auffüllen wird nie mit dem Rahmen übertragen; es wird, um verwendet die Berechnung über dem abschließenden Block nur zu vereinfachen. Nach dem Auffüllen der Rahmen in eine Reihenfolge der 32-bit Wörter M0... mn-1, in dem N = umgewandelt wird [ (n+5)/4 ]. Mit Absicht, MN-1 = 0 und MN-2! = 0.
Der Wert MIC wird beginnend mit dem Schlüsselwert und dem Anwenden einer Blockfunktion b für jedes Anzeige Wort berechnet. Die Zifferschleife läßt eine Gesamtmenge N Zeiten (i schließt 0 zu den Werten N-1) mit ein laufen, wo N die Zahl den 32-bit Wörtern ist, die herauf den aufgefüllten Rahmen bilden. Der Algorithmus produziert zwei Wörter (l,r), die in eine Reihenfolge von acht Kleinen-Endian Oktetten umgewandelt werden, der Wert MIC:
Eingang: Schlüssel (K0, K1) und aufgefüllt Mangan M0 des Rahmens (dargestellt als 32-bit Wörter)... ausgegeben: MIC
Wert (V0, V1)
MIC < = ((K 0, K1), (M0...,mn))
(l,r) < = (K0, K1)
für i = 0 zu N-1
L < = L ^ = Meile
(l,r) < = b(l, r)
Rückkehr (l,r)
Der Wert MIC wird zum Rahmen wie die gesendet zu werden angefügt Daten.
Die Blockfunktion b, die durch MIC verwendet wird, ist ein kleiner Feistel Algorithmus, der wechselnde Hinzufügung und XORing einsetzt. < < < bedeutet linke Umdrehung und > > > zeigt rechte Umdrehung von 32-bit Werten an, und XSWAP ist eine Funktion, die die Position der zwei wenig bedeutenden Bytes mit der Position der zwei bedeutendsten Bytes in einem Wort austauscht:
Eingang: (l,r)
Ausgang: (l,r)
b(L, R) 35
r < = r ^ = (L < < < 17)
L < = (L + r) Umb. 232
r < = r ^ = XSWAP(l)
L < = (L + r) Umb. 232
r < = r ^ = (L < < < 3)
L < = (L + r) Umb. 232
r < = r ^ = (L > > > 2)
L < = (L + r) Umb. 232
gehen Sie zurück (L, r)
Wie Sie sehen können, ist die Ziffer weder verfeinert noch stark. Es wurde geschätzt, daß ein Angreifer eine Wahrscheinlichkeit in Million des Schleichens in einem Rahmen mit einer verglichenen Nutzlast hat, aber MIC behebt. Man konnte argumentieren, daß bedeutende Beschädigung erfolgt werden kann, indem man einen einzelnen geänderten Rahmen nach 1 Million gesendeten worden Rahmen einsetzt. Jedoch wird das alte WEP ICV (CRC-32) noch außerdem verwendet und muß zusammen mit MIC gefälscht werden. So sind solche Angriffe weder einfach noch haben eine hohe Wahrscheinlichkeit des Erfolges. Dennoch um ihren Erfolg abzuschwächen wurden die sogenannten TKIP Gegenmaßnahmen eingeführt. Wenn mehr als ein einzelner Fälschung Versuch in einer Sekunde ermittelt worden ist, löscht der Wirt das groupwise oder paarweise den Schlüssel (abhängig von, wann immer ein unicast oder multicast Rahmen beeinflußt wurden), die deassociates und die Wartezeiten für eine Minute vor der Wiedervereinigung. So wird die Möglichkeit eines schlechten Joe Crackers, der dem Sneak in einigen von ihnen einige Million geänderte Rahmen unentdeckt schickt, beseitigt.
Jedoch konnte der gleiche Joe Cracker hoffnungslos sich drehen und versucht, geschmiedete Rahmen zu senden, um die Gegenmaßnahmen auszulösen und einen DOS Angriff zu verursachen und nicht eine Wanze, aber eine Eigenschaft einsetzen. Die Möglichkeit solcher DOS Angriffe, die durch eine neue Sicherheit Eigenschaft eingeführt wurden, wurde weit argumentiert. Das beste Beispiel solcher Diskussion ist ein Gewinde an der Cryptographypostliste (http://www.mail-archive.com/cryptography@wasabisystems.com/msg03070.html ist die erste Anzeige in einem Gewinde). In diesem Gewinde Niels Ferguson, der Schöpfer von MIC, Antwortfragen die Möglichkeit eines DOS Angriffs betrachtend Gegenmaßnahmen MIC mißbrauchend. Trotz des Radaus um die Wahrscheinlichkeit dieses DOS Angriffs und der Unvollkommenheiten der Gegenmaßnahmen, konnte solch ein Angriff nicht sein, wie realistisch und einfach, da vieles auszustoßen denken würde. Erinnern Sie daran, daß der TSC alle Heraus-vonreihenfolge Rahmen fallenläßt; der Angreifer muß einen Rahmen mit einer "Zukunft folglich senden," dennoch unbenutzt, IV. Jedoch rufen Sie zurück, daß der IV aktiv durch die TKIP Propaket Schlüssel-Erzeugung Funktion benutzt wird. Wenn der IV geändert wird, wird der Rahmen nicht richtig entschlüsselt. Weil das CRC-32 noch dort ist, würde führen würde es nicht einen korrekten Wert geben und zu den geschmiedeten Rahmen, der schließlich gefallen wurde. So muß der Angreifer aus gültigen Rahmen schnüffeln, löscht sie, um sie am Erreichen des Empfängers zu verhindern, verdirbt das MIC, rechnet das CRC-32 nach, um die Änderungen in MIC zu reflektieren und nur leitet dann die "MIC-von-Tod" Rahmen an das Ziel weiter (wünschenswert alle 59 Sekunden). Obgleich möglich, ist es auf keinen Fall eine einfache Aufgabe.
Weil die abschließenden freigeben-kompatiblen Kleinteile 802.11i für das Laufen lassen von von AES optimiert werden müssen, ein CBC-MAC HMAC einführendes AES würde zu verwenden als Einwegdurcheinander praktischer und sicher als sein, irgendeine Form von MIC oder eine weithin bekannte Anzeige Auswahl wie SHA einsetzend. Es beseitigt auch alle möglichen Probleme mit MIC gerade besprochen. So in einigen spezifischen Fällen, könnte es vorzuziehend sein, symmetrische Blockziffern für Datenintegritätbewahrung sowie für Datenverschlüsselung und Anzeige Authentisierung zu verwenden.
Online: 742 users browsing the articles directory
|
|