Úvod > Články > Další bezpečnostní díry na internetu

Další bezpečnostní díry na internetu

aneb MD5 hash na prahu katastrofy. Bezpečnost na internetu dostává jednu ránu za druhou. Stále se opakují chyby zabezpečení některých služeb a bankovních aplikací, útoky informačních pirátů jsou každý den intenzivnější.

To jsou ale známá fakta. Řada vývojářů spoléhá na různé typy hashovacích algoritmů, jak se ale ukazuje, ty nebudou vždy spolehlivým řešením bezpečnosti na webu. 

Hashovací algoritmy jako MD5 nebo SHA1 patřily v posledních patnácti letech k těm bezpečnějším způsobům, kterak uložit citlivá data, obvykle hesla. Připomeňme, že hash není šifra, jde tedy o jednosměrné zakódování textového řetězce. Výhodou je fakt, že na výstupu hashovacích algoritmů je řetězec jednotné délky, i v případě, kdy je hashovaný text krátký, výstupní otisk je nepoměrně delší. Díky využití hashů netuší ani administrátor systému, jaké heslo jste zvolili. Bohužel, již delší dobu se hovoří o prolomitelnosti těchto algoritmů. 

V MD5 byly chyby zjištěny již dávno 

O prolomení hashů museli mít povědomost patrně i jejich tvůrci v dobách vzniku. Ač se již v roce 1996 ukázalo, že předchozí verze hashe MD4 nemusí být zcela bezproblémová, do roku 2004 byla pokládána MD5 za bezpečnou metodu ukládání hesel a jiných citlivých dat. Vše se ale náhle změnilo. V roce 2006 byla objevena kolize MD5, tedy skutečnost, že pro dva různé vstupní řetězce může existovat stejný hash. I přes toto zjištění byla na řadě míst dále MD5 využívána, obezřetnější administrátoři přešli na hashovací funkci SHA1. Jak se ale ukázalo, ani tato není nijak více bezpečná, alespoň ve své základní modifikaci.  

SHA1 čeká brzy podobný osud 

Jak plynul čas, lidé se snažili stále více se vyhýbat MD5 a nahrazovali tento algoritmus pomocí hashe SHA1. Ten se pokládal až do nedávné doby za bezpečný. Jak ale vyplynulo z diskusí odborníků, její bezpečnost nelze zaručit po roce 2010. U SHA1 dochází sice také ke kolizím, ale ne tak často, jako u MD5. Přesto, většina odborníků na bezpečnost nedoporučuje používat ani jednu z uvedených metod. Dokonce ani kombinace více hashů nebo přidáním vlastního řetězce k hashi není optimální metodou. 

Dešifrujte hash snadno na webu 

To, že existují převodníky z běžných znaků na hashe, není ničím novým. Šikovnou stránku pro převod do hashů naleznete třeba zde. Na webu jsou ale již otevřené způsoby, kterak převést hash zpět na řetězec. K tomuto účelu se využívá dvojí metody. Jednak databáze známých hashů, tedy takových otisků, které již byly použity, a tak k nim lze snadno najít ekvivalent. To je ale běžná slovníková metoda. Dále se využívají tzv. Rainbow tables. Tak jak tak, snadno si můžete ověřit bezpečnost svého hesla. Například na tomto webu zadáte hash svého hesla v MD5 nebo v SHA1 a posečkáte na výsledek. Obdobně lze ověřit heslo například zde, ovšem pouze pro MD5.  

Kde všude se s MD5 a SHA1 setkáváme 

I když o prolomení hashovacích funkcí MD5 a SHA1 se hovoří již řadu let, přesto, i u nových aplikací se s využitím těchto hashů setkáváme. Jde zejména o webové stránky, ale také o jiné databázové aplikace. Otázka zní, proč autoři webů a aplikací tyto metody stále využívají? Důvodem může být pouhý zvyk, rutina, prostě je využívali doteď, tak proč by měli něco měnit. Dalším důvodem je snadné využití funkcí, jsou implementovány snad v každém programovacím jazyce současnosti. V poslední řadě může jít také o neznalost nebo absence aktuálních kryptografických informací. Zabolí zejména fakt, že stále vznikají nové projekty, které spoléhají na tyto zastaralé hashe. U fungujících projektů je navíc někdy obtížné tyto hashe nahradit takříkajíc „za běhu“. 

Jakou alternativu hashování využít 

Dle diskusí na internetu je vhodné v současnosti spoléhat na modifikace hashe SHA. Konkrétně pak na SHA-256, SHA-512, SHA-384 a SHA-224. Dále lze konstatovat, že také hashovací algoritmus HMAC v kombinaci s funkcemi SHA-1 nebo třídou SHA-2 zůstávají také bezpečné. Určitou alternativou zůstává napsat si vlastní lokální hashovací funkci, což ovšem očekává hlubší znalosti z oblasti kryptografie.

20. 2. 2009

Autor: David Procházka

Témata

telekomunikace

Sdílejte

Přečtěte si také

 

O2 rozezvoní 17. listopadu všechny telefonní budky

V rámci projektu Svoboda není samozřejmost se v neděli 17. listopadu postupně rozezvoní všechny telefonní budky v...

 

Sledujte tenisový Turnaj mistrů na DIGI TV

Turnaj mistrů je v plném proudu a vy se můžete na zápasy tenisových hvězd podívat na DIGI TV. Na kanálu DIGI Sport 3...

 

Čína spustila 5G síť pro komerční využití

Tři státní čínští operátoři spustili pro své zákazníky mobilní síť 5. generace. Po Jižní Koreji, Velké Británii a...

Nejčtenější články

Jaké výhody přinese Wi-Fi 6?

 

V obchodech se objevují první zařízení s podporou nového bezdrátového standardu Wi-Fi 6. V čem je lepší než...

Vodafone začal nabízet neomezená data pro jednotlivce

 

Vodafone v létě jako první z českých operátorů zařadil do své nabídky tarif s neomezenými daty. Pokud jste si ho...

Víme, kde se od října připojíte k 5G internetu!

 

5G internet od Nordic Telecom se v říjnu rozšířil do dalších nových lokalit. Jejich internet je 5G-ready, takže se...