[HACK] pgp ... y MD5

Jaime Suarez Martinez jsuarez at ono.com
Sat Dec 1 01:23:11 CET 2001 

El día Fri, Nov 30, 2001 at 09:45:01AM +0100, MNTGE escribía:

> Gracias amigo Jaime por la exhaustiva información que aportas.
> Aprovecho como en la tele para mandarte un afectuoso saludo.

Es un placer corresponder al saludo.

>[...] Pero tambien es cierto que a partir de dicha version, PGP
>se ve envuelto en un torbellino de dudas que, personalmente,
>me produce mucho inseguridad. No puedo evitar alguna pregunta,
>abusando de la paciencia del amigo Jaime:
>
> * ¿Compartes la buena opinion sobre GnuPG que transmite el
>articulo de Merce?

Rotundamente sí. A pesar de las limitaciones que parece tener
aún en la versión para Windows da la impresión de que se están
haciendo muy bien las cosas desde el principio. Parece que los
fondos del ministerio alemán de tecnología puede seguir impulsando
el proyecto a la vez que mantiene su independencia. El seguir el
estándar OpenPGP también da "buen rollo" igual que tener _todo_ el
código fuente disponible.


> * ¿Que version PGP consideras que puede maximizar la relacion
> @prestaciones tecnicas/confianza@?

Ninguna. Si yo me tuviera que quedar con una lo haría con la
citada 2.x.x pero teniendo GnuPG que puede utilizar nuestras
claves anteriores de PGP, revocarlas y crear otras nuevas ¿de
verdad es necesario seguir apegado a PGP? Yo no tuve ningún
problema para hacer la transición.

Más información http://www.gnupg.de/presse.en.html

De donde extraigo la siguiente cita:

"Por lo demás, todas las versiones actuales de PGP incluyen alguna
forma de acceso por terceras partes a las claves criptográficas.
Esta "feature" ha conducido a la pérdida de fe en este programa"

> Hay una afirmacion tuya que me produce cierta alarma:
>
> >    1. Las firmas RSA "estándar" (tal y como se implementan por
> > defecto) están basadas en MD5, que se considera roto.
>
> ¿Roto? Nosotros estamos utilizando MD5 para generar firma
> digital en las grabaciones de control de trafico aereo, a
> efectos de garantizar la no alteracion. Por eso estoy interesado
> en estimar cuantitativamente, en terminos practicos, tu
> afirmacion. ¿Puedes darme alguna referencia donde formarme?

Maticemos. Está roto desde un punto de vista teórico pero como
dice Schneier los ataques nunca empeoran y a menudo mejoran,
recordemos la ley de Moore.

Citando de nuevo las FAQ de PGP RSA frente a PGP DH:

"En resumen, las tres principales preocupaciones sobre el uso de
MD5:

   1. Se han encontrado pseudo colisiones en la función de
   compresión. 2. Se encontraron colisiones en la función de
   compresión. Esto viola los objetivos del diseño de MD5. 3. La
   función hash solo devuelve 128 bits, poco para la seguridad a
   largo plazo."

Y un poco más tarde y quizá más práctico conforme a tu pregunta:

"Lo que sí permite a un adversario es crear un mensaje A con un
mensaje relacionado pero diferente B con un mismo hash M. En la
práctica deberías firmar un mensaje sólo cuando una tercera parte
no tiene influencia sobre el mensaje que está siendo firmado.

MD5 no debería ser usado en adelante universalmente sin reflexión.
Los usuarios tienen que ser cuidadosos cuando consideren que
documentos van a autentificar o firmar con MD5. Compare esto con
SHA-1 y RIPEMD que pueden utilizarse sin esta precaución"

La referencia que Sam Simpson indica aquí (anticuada) es:
H.Dobbertin, "MD5 Discussion" sci.crypt USENET posting, 11th Jun
1996.

Por otro lado esto aparece en las FAQ de la RSA:
http://www.rsa.com/rsalabs/faq/3-6-6.html

"Van Oorschot y Wiener han considerado un ataque por fuerza bruta
buscando colisiones [...] y estiman que una máquina para buscar
colisiones diseñada específicamente para MD5 (coste $10 millones
en 1994) podría encontrar una colisión para MD5 en 24 días como
media."

Ahora uno debería estimar la posibilidad de que algo que costaba
$10 millones de dolares hace 7 años no sea bastante más fácil y
barato hoy en día (además el ataque por fuerza bruta se mejorará
bastante con las colisiones encontradas por Dobbertin en el 96).
Recordemos el caso DES.

Saludos de nuevo.

--
(0-   Jaime Suarez             Criptografía,seguridad,passwords...  -0) 
//\   Linux user #114.688      http://MundoCripto.come.to           /\\ 
V_/_  PGP Key id 0x6E90E61B                                        _\_V 
 
Cuando la criptografía sea ilegalizada, fbyb ybf qryvaphragrf graqena cevinpvqnq
--------------------------------------------------------------------------

More information about the hacking mailing list