.
Otras funciones extensamente usadas del picadillo incluyen 128-bit MD5 de RSA Data Security, Inc., que es un picadillo muy rápido y comúnmente puesto en ejecucio'n. MD5 se utiliza tradicionalmente para cifrar contraseñas del usuario de Linux (hashes comienzo con el carácter de "$1$"), para authenticar protocolos de la encaminamiento como RIPv2 y el OSPF, para crear sumas de comprobación de binaries en RPMs, y para verificar la integridad de los archivos de los puertos de Free/OpenBSD. Las especificaciones de MD5 están disponibles en RFC 1321. Reciba las herramientas de la detección de la intrusión como el uso MD5 de Tripwire (http://www.tripwire.com) de tomar fotos de los ficheros del sistema y de preservarlos en una base de datos (que deba ser cifrada) para determinarse si cualesquiera de los ficheros del sistema fueron modificados por las galletas. Tripwire de un hombre pobre es el comando de md5sum disponible en muchos UNIX-como sistemas. Un precursor de MD5, MD4 es muy rápido, pero estaba quebrado en octubre de 1995. Desafortunadamente, MS-CHAP todavía utiliza MD4 hashes incluso en su segunda versión, y los protocolos tales como 802.1x EAP-LEAP que confíen en MS-CHAP pueden ser vulnerables a los ataques contra MD4. Desde 1995, ha habido dudas serias sobre la seguridad de MD5 y el otro picadillo criptográfico 128-bit cifra, y el uso por lo menos de 160-bit hashes se recomienda. Usted puede comprobar la seguridad de su MD5 hashes con la herramienta de MD5Crack, disponible para la transferencia directa de http://www.checksum.org/download/MD5Crack (ésta es la versión compilada de Windows de la herramienta; El código de fuente de UNIX se puede descargar de http://www.packetstormsecurity.org).
Aparte de SHA-1 y más arriba, hay otras cifras criptográficas razonablemente seguras del picadillo a utilizar, incluyendo HAVAL (valores variable-length del picadillo), RIPEMD, y tigre. RIPEMD de la evaluación de los primitivos de la integridad de la raza del proyecto del EU (MADURA) consiste en dos procesos paralelos MD5 que funcionan para cinco redondos y que producen un picadillo 160-bit. RIPEMD se considera tan seguro como SHA-1 y es utilizado por Nessus conjuntamente con Twofish. El tigre fue diseñado por el equipo del desarrollo de la serpiente y se optimiza para funcionar en las virutas 64-bit, en las cuales es aproximadamente 2.8 veces más rápidamente que RIPEMD y 2.5 veces más rápidamente que SHA-1. El tigre produce un picadillo 192-bit, aunque es menos-seguro 128- y las variantes 160-bit de esta cifra existen.
El bloque común que las cifras simétricas se pueden también utilizar como el unidireccional hashes con pocas excepciones (e.g., blowfish). En hecho, el poder poner una cifra en ejecucio'n simétrica como picadillo criptográfico era una de las condiciones que un candidato de AES tuvo que resolver. Sabiendo criptográfico hashes el trabajo, es fácil ver que no hay nada supernatural sobre usar una cifra simétrica del bloque en tal papel: Provea una constante, utilice los datos de entrada para generar subkeys, y funcione. Sin embargo, no hay razón de utilizar AES o MARTE, etcétera, como picadillo unidireccional cuando existen los algoritmos criptográficos específicos bien diseñados del picadillo como SHA.
Las cifras criptográficas del picadillo se diseñan para procesar rápidamente cantidades de datos grandes; por ejemplo, hash datos y añadirlos hashes a los jefes del paquete en marcha mientras que los paquetes se envían sobre la red. El índice de proceso de las cifras criptográficas del picadillo en MB/sec es generalmente comparable al índice de proceso de las cifras de la corriente tales como RC4 y es 1.5 a 2 veces sobre el índice de proceso de AES. Obviamente, hay una pena del funcionamiento para usar más seguro, más grande hashes, y MD5 tendría un rendimiento de procesamiento de datos más alto que tigre (en CPUs 32-bit) o SHA-1.
Criptográfico hashes son muy bien sostener integridad de datos vía huella dactilar de los datos o identificar a usuarios contra las bases de datos de contraseñas hashed. Sin embargo, por sí mismos no authentican los datos sí mismo; el atacante puede alterar los datos originales antes de que ocurra el hashing. Una solución posible para este problema está utilizando un HMAC, también llamado un resumen afinado del mensaje. Un HMAC no es nada más que un picadillo criptográfico y una llave secreta compartida combinados. Así, los datos consiguen cifrados antes de que hashed, y el atacante tendría que romper la llave simétrica de la cifra después de generar el mensaje original del picadillo o romper la llave simétrica de la cifra si él o ella tiene acceso a los datos antes de que ocurra el hashing. Un ejemplo del código de la autentificación del mensaje diseñado específicamente para mejorar seguridad sin hilos es Michael (MIC).
MIC: Más débil Pero Más rápidamente
El problema principal encontrado en el diseño de MIC
desarrollaba un HMAC que funcionaría en el hardware de la herencia
sin la imposición de penas significativas ante rendimiento de
procesamiento y estado latente de la red. ¡Los anfitriones del
cliente pueden sacar datos el cómputo de HMAC a la computadora
portátil suficientemente de gran alcance o aún a la CPU de PDA,
aunque sigue siendo indeseable! ¿Qué si una compañía decide
diseñar y fabricar un teléfono móvil minúsculo 802.11-enabled?
Además, muchos puntos de acceso no se jactan energía arriba de
proceso. Todavía, el AP o un puente sin hilos debe poder
verificar integridad y la autenticidad de los paquetes de puente.
Recuerde la estructura de SHA con sus 80 redondos de la
iteración e imagínese el generar de tal picadillo para cada paquete
enviado sobre la red sin hilos. ¿Un punto de acceso común o un
PDA podría poner ese proceso en ejecucio'n sin el agotamiento
significativo del recurso? ¡No muy probablemente!
Así, enteramente un nuevo algoritmo llamado MIC fue diseñado por Niels Ferguson para proporcionar la comprobación de la integridad del paquete y la detección de la falsificación en WLANs TKIP-permitido. Fue diseñado como una tercera tentativa, después de dos diseños anteriores llamados Mickey y Michelle. MIC es una compensación entre la capacidad de la seguridad y de la consumición y de la puesta en práctica del recurso. Funciona en puntos de acceso y un hardware sin hilos más viejos del cliente sin la imposición de una pena significativa del funcionamiento, pero el nivel de la seguridad que proporciona es solamente 20 pedacitos. Como usted debe entender ahora, en términos criptográficos modernos esto no está mucho.
Antes de discutir la compensación y sus posibilidades prácticas del resultado, aprendiendo cómo los trabajos MIC son provechosos. El secreto MIC dominante consiste en 64 pedacitos y se representa mientras que 8-byte una secuencia k0... k7. esta secuencia se convierte a dos pequeñas-Endian palabras 32-bit, K0 y K1. A través del diseño MIC, todas las conversiones entre los octetos y las palabras 32-bit utilizan a Pequeñas-Endian convenciones, porque se espera que la cifra funcione en Pequeño-Endian CPUs. En hecho, la mayoría de puntos de acceso ahora fabricó una más vieja línea virutas de Intel del uso tales como i386 o i486.
MIC funciona encendido la zona de informaciones, así como campos de la fuente y de dirección de destinación del bastidor sin hilos. La integridad de IVs no se protege y la zona de informaciones no se interpreta. Antes de que la cifra funcione, el marco se rellena en el extremo con un solo octeto (valor 0x5a), seguido por 4 a 7 octetos cero. El número de los octetos cero se selecciona para asegurarse de que la largura total del bastidor rellenado es siempre un múltiplo de cuatro. El acolchado nunca se transmite con el marco; se utiliza para simplificar solamente el cómputo sobre el bloque final. Después del acolchado, el marco se convierte en una secuencia de las palabras 32-bit M0... mn-1, donde N = [ (n+5)/4 ]. Por diseño, MN-1 = 0 y MN-2! = 0.
El valor MIC se computa comenzando con el valor dominante y la aplicación de una función b del bloque para cada palabra del mensaje. El lazo de la cifra funciona un total de tiempos de N (i incluye 0 a los valores N-1), donde está el número N de las palabras 32-bit que hacen encima del marco rellenado. El algoritmo produce dos palabras (l,r), que se convierten en una secuencia de ocho Pequeños-Endian octetos, el valor MIC:
Entrada: Llave (K0, K1) y rellenado manganeso M0 del marco (representado como palabras 32-bit)... hecho salir: MIC
valor (V0, V1)
MIC < = ((K 0, K1), (M0...,mn))
(l,r) < = (K0, K1)
para i = 0 a N-1
l < = l ^ = milla
(l,r) < = b(l, r)
vuelta (l,r)
El valor MIC se añade al marco como los datos que se enviarán.
La función b del bloque usada por MIC es un algoritmo minúsculo de Feistel que emplea adiciones que se alternan y XORing. < < < significa la rotación izquierda y > > > indica la rotación derecha de valores 32-bit, y XSWAP es una función que intercambia la posición de los dos octetos lo más menos posible significativos por la posición de los dos octetos más significativos en una palabra:
Entrada: (l,r)
Salida: (l,r)
b(L, R) 35
r < = r ^ = (l < < < 17)
l < = (l + r) MOD 232
r < = r ^ = XSWAP(l)
l < = (l + r) MOD 232
r < = r ^ = (l < < < 3)
l < = (l + r) MOD 232
r < = r ^ = (l > > > 2)
l < = (l + r) MOD 232
vuelva (l, r)
Como usted puede ver, la cifra es ni sofisticada ni fuerte. Era estimado que un atacante tiene una ocasión en millón de hacer furtivamente en un marco con una carga útil comprometida pero corrige MIC. Uno pudo discutir que el daños significativa puedan ser hechos insertando un solo marco modificado después de 1 millón de marcos enviados. Sin embargo, el viejo WEP ICV (CRC-32) todavía se utiliza también, y tiene que ser falsificado junto con MIC. Así, tales ataques son ni fáciles ni tienen una alta probabilidad del éxito. Sin embargo, para atenuar su éxito las contramedidas supuestas de TKIP fueron introducidas. Cuando más que una sola tentativa de la falsificación en un segundo se ha detectado, el anfitrión suprime el groupwise o en parejas la llave (dependiendo de siempre que un unicast o el marco del multicast fuera afectado), los deassociates, y las esperas por un minuto antes de la reasociación. Así, la posibilidad de una galleta malvada de Joe que envía algunos millón de marcos modificados al chivato en algunos de ellos desapercibidos se elimina.
Sin embargo, la misma galleta de Joe pudo dar vuelta desesperado e intenta enviar marcos forjados para accionar las contramedidas y para causar un ataque del DOS, empleando no un insecto, sino una característica. La posibilidad de tales ataques del DOS introducidos por una nueva característica de la seguridad fue discutida extensamente. El mejor ejemplo de tal discusión es un hilo de rosca en la lista del correo de la criptografía (http://www.mail-archive.com/cryptography@wasabisystems.com/msg03070.html es el primer mensaje en un hilo de rosca). En este hilo de rosca Niels Ferguson, el creador de MIC, preguntas de las respuestas considerando la posibilidad de un ataque del DOS abusando de las contramedidas MIC. A pesar de el hullabaloo alrededor de la probabilidad de este ataque del DOS y de las imperfecciones de las contramedidas, tal ataque no pudo estar como realista y fácil lanzar tanto pensaría. Recuerde que el CAC caerá todos los marcos de la hacia fuera-de-secuencia; el atacante tiene que enviar así un marco con un "futuro," con todo inusitado, intravenoso. Sin embargo, recuerde que el intravenoso es utilizado activamente por la función de la generación de la llave del por-paquete de TKIP. Si se cambia el intravenoso, el marco no será descifrado correctamente. Porque el CRC-32 todavía está allí, no daría un valor apropiado, conduciendo al marco forjado que es caído eventual. Así, el atacante tiene que oler fuera de marcos válidos, los suprime para evitar que alcancen el receptor, corrompe el MIC, recalcula el CRC-32 para reflejar los cambios en MIC, y después transmite solamente a los marcos de la "MIC-de-Muerte" la blanco (deseable cada 59 segundos). Aunque es posible, es de ninguna manera una tarea fácil.
Porque el hardware lanzar-compatible final 802.11i tendrá que ser optimizado para funcionar AES, usar un CBC-MAC HMAC AES que pone en ejecucio'n como picadillo unidireccional sería más práctico y seguro que empleando una cierta forma de MIC o un resumen bien conocido del mensaje como SHA. También quitará todos los problemas posibles con MIC apenas discutido. Así, en algunos casos específicos, podría ser preferible utilizar las cifras simétricas del bloque para la preservación de la integridad de datos así como para el cifrado de datos y la autentificación del mensaje.
Online: 254 users browsing the articles directory
. |