1 .6 Mô hình an toàn mạng
4.1.2 Các yêu cầu và độ an toàn hàm băm
Để hiểu rõ yêu cầu và an toàn của hàm băm, ta cần định nghĩa hai điều kiện. Đối v i giá trị băm h = H(x), xđược gọi là nghịch ảnh của h. Nghĩa là xlà một khối dữ liệu có hàm băm là hs dụng hàm H. Vì hàm H là hé ánh xạ từ nhiều hần t thành một, nên v i một giá trị hcho trư c, có thể tạo ra nhiều nghịch ảnh. Một xung đột xảy ra nếu x ≠ y
và H(x) = H(y). Do chúng ta s dụng các hàm băm để đảm bảo tính toàn vẹn của dữ liệu nên các xung đột là điều không mong muốn.
98
Chúng ta sẽ h n tích xem có bao nhiêu nghịch ảnh có thể được tạo ra v i một giá trị băm cho trư c như là một hé đo số xung đột có thể xảy ra v i một giá trị băm cho trư c. Giả s rằng, độ dài của giá trị băm là n bit và hàm H có các bản tin đầu vào hay các khối dữ liệu có độ dài b bit (b > n). hi đó, tổng số bản tin có thể là 2b và tổng số các
giá trị băm là 2n. Trung bình, mỗi giá trị băm tương ứng v i (2b – n) nghịch ảnh. Trên thực tế, nếu H h n bố đều các giá trị băm thì mỗi giá trị băm sẽ có xấ x (2b – n)
nghịch ảnh. Nếu b y giờ, chúng ta xét đầu vào có độ dài bất kỳ, không hải ch là một độ dài cố định như trư c thì số nghịch ảnh tạo ra từ mỗi giá trị băm là một giá trị l n bất kỳ. Tuy nhiên, rủi ro an ninh trong việc s dụng hàm băm không nghiêm trọng như theo h n tích này. Để hiểu hơn về vấn đề bảo mật của hàm băm mã hóa, chúng ta cần định nghĩa chính xác các yêu cầu về bảo mật của chúng.
ầ b ậ à bă b ậ
Bảng 4.1 liệt kê các yêu cầu được chấ nhận chung cho một hàm băm mã hóa. Ba yêu cầu đầu tiên được á dụng cho các ứng dụng thực tế của hàm băm. Yêu cầu thứ tư,
chống nghịch ảnh, là một đặc tính một chiều, nghĩa là: một mã băm có thể dễ dàng tạo ra bởi một bản tin cho trư c nhưng hầu như không có khả năng tái tạo lại bản tin thông qua một mã băm cho trư c. Đặc tính này vô cùng quan trọng nếu các kỹ thuật xác thực s dụng các giá trị bí mật. Giá trị bí mật không được g i đi nhưng nếu hàm băm không hải là hàm một chiều thì kẻ tấn công có thể dễ dàng hát hiện ra được giá trị bí mật. Nếu kẻ tấn công có thể quan sát hoặc chặn một đường truyền, kẻ tấn công có thể thuđược bản tin M và mã băm h = H(S || M). Sau đó, kẻ tấn công có thể triển khai ngược hàm băm để lấy được S||M = H-1(MDM). Do b y giờ, kẻ tấn công có cả M và SAB||M, nên có thể dễ dàng tìm ra được SAB.
Bảng 4.1: Các yêu cầu hàm băm bảo mật
êu cầu Mô tả
ích thư c biến đầu vào H có thể ứng dụng cho một khối dữ liệu có kích thư c.
ích thư c đầu ra cố định H tạo ra đầu ra có độ dài cố định.
Hiệu quả H(x) dễ dàng tính toán cho một x bất kỳ cho trư c, có thể triển khai trên cả hần cứng và hần mềm.
Tính chất một chiều V i bất kỳ giá trị băm h, tính toán y để H(y)=h là bất khả thi.
99
háng xung đột yếu V i bất kỳ một khối x, tính toán để tìm
y x v i H(y)=H(x) là bất khả thi.
háng xung đột mạnh Bất khả thi trong tính toán tìm kiếm một cặ bất kỳ (x,y) để H(y)=H(x).
Giả ngẫu nhiên Đầu ra của H đảm bảo tính giả ngẫu nhiên
Đặc tính thứ năm, chống nghịch ảnh bậc 2, đảm bảo việc không thể tìm được một bản tin thay thế v i giá trị băm của bản tin cho trư c. điều này ngăn chặn sự giả mạo khi mã băm mã hóa được s dụng. Nếu đặc tính này không thỏa mãn, kẻ tấn công có khả năng thực hiện các hành động sau đ y: Đầu tiên, quan sát hoặc chặn một bản tin cùng v i mã băm mã hóa của nó; tiế theo, tạo một mã băm không mã hóa từ bản tin; cuối cùng, tạo ra bản tin thay thế v i mã băm tương tự.
Hàm băm thỏa mãn năm đặc tính đầu tiên được xem như hàm băm yếu. Nếu đặc
tính thứ sáu, chống xung đột, thỏa mãn thì hàm băm đó được gọi là hàm băm mạnh. Một hàm băm mạnh có khả năng chống lại tấn công trong dó một bên tạo ra bản tin cho một
bên khác ký.
ấ đ ử đú s
Đối v i các thuật toán mã hóa thường có hai loại tấn công nhằm vào hàm băm là: Tấn công đoán th đúng sai và giải mã. Tấn công đoán th đúng sai không hụ thuộc vào một thuật toán cụ thể mà ch hụ thuộc vào độ dài bit. Trong trường hợ của hàm băm, tấn công đoán th đúng sai ch hụ thuộc vào độ dài của giá trị băm. Ngược lại, giải mã là tấn công dựa trên các điểm yếu trong một thuật toán mã hóa cụ thể nào đó.
Tấ và ị và ị bậ
Đối v i tấn công vào nghịch ảnh hoặc nghịch ảnh bậc hai, kẻ tấn công muốn tìm một giá trị y theo hàm H(y)có giá trị bằng giá trị băm hcho trư c. hương há tấn công đoán th đúng sai sẽ chọn giá trị y ngẫu nhiên và th cho đến khi xung đột xảy ra. Đối v i một giá trị băm m-bit, số hé th t lệ v i 2m. Nghĩa là, kẻ tấn công cần hải th 2m- 1 giá trị yđể tìm ra một giá trị chính xác.
Tấ và ố x độ
Đối v i tấn công vào đặc tính chống xung đột, kẻ xấu muốn tìm hai bản tin hoặc các khối dữ liệu x và y, có cùng một hàm băm H(x) = H(y). Tấn công này cần ít hé đoán th hơn so v i tấn công vào nghịch ảnh và nghịch ảnh bậc hai. Về cơ bản, nếu các biến
100
ngẫu nhiên được h n bố đều trong dải từ 0 đến N-1 thì xác suất để một hần t lặ lại vượt quá 0.5 sau N lựa chọn được thực hiện. Do đó, đối v i giá trị băm m-bit, nếu các khối dữ liệu được chọn một cách ngẫu nhiên thì có thể tìm thấy hai khối dữ liệu có cùng giá trị băm sau 2m 2m2 hé th .