Amatører og Pros Vie til at bygge New Crypto Standard

Den femtenårige Peter Schmidt-Nielsen tilbragte kun en måned, der arbejder på hans indsendelse, men han mener, at han er kommet op med noget "usædvanligt og nyt." Aldrig noget imod, at han står over for nogle af de mest berømte kryptografer i verden.

Schmidt-Nielsen er en af ​​mere end 60 deltagere i hvad der forventes at være en fireårig konkurrence for at vælge en ny hashingalgoritme, der vil hjælpe med at låse Kryptografien bruges af alt fra webbaserede betalingssystemer til sikring af e-mail til kildekodehåndteringsværktøjer.

Konkurrencen, sponsoreret af National Institute of Standards and Technology (NIST), håber at finde en ny kryptografisk hash-algoritme at erstatte SHA-2 (Secure Hash Algorithm - 2) algoritmen, som NIST offentliggjorde for otte år siden. Deadline for SHA-3 indsendelser var 31. oktober, og NIST håber at skære feltet ned til 15 eller 20 deltagere inden næste august. Det er, når det hårde arbejde med at hamre væk på indleveringerne og banke løs eventuelle fejl vil virkelig begynde.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Schmidt-Nielsen og andre laver deres arbejde ubetalt, konkurrerer hovedsagelig for prestige og spændingen ved at se deres arbejde analyseret af deres jævnaldrende. "Jeg synes det er masser af sjov," sagde Schmidt-Nielsen, som først kom ind i kryptografi i en alder af 13 år. "Det vil være rigtig fascinerende at se, at min algoritme bliver fuldstændig revet fra hinanden."

Også i løb er berømte kryptografer som Bruce Schneier, BTs chefsikkerhedsofficer og Ron Rivest, der opfandt den udbredte MD5 hash-algoritme.

Men hvad er en hashalgoritme alligevel?

Hashing er computerskab for at finde en måde at tage en besked - en e-mail, for eksempel - og repræsenterer den med et unikt nummer, der synes at være tilfældigt. Hashing blev udviklet som en måde at reducere computing overhead når programmer gør ting som scanning filer for at se, om de er blevet ændret. Det er meget hurtigere at sammenligne to hashværdier end at scanne gennem hele filerne til ændringer.

I en kryptografisk hash bliver nummeret krypteret, hvilket skaber en digital signatur, der kan verificeres ved hjælp af kryptering med offentlig nøgle. I praksis bruges disse digitale signaturer til at bekræfte, at et websted egentlig er det websted, det hævder at være, eller at en e-mail-meddelelse er fra den person, der hævder at have sendt den, og at den ikke har ' er blevet manipuleret undervejs.

Fra og med 2004 fandt forskere, der ledes af Shandong Universitets Wang Xiaoyun, svagheder i MD5 og SHA-1 hash-algoritmerne. De opdagede, at det var nemmere end man havde troet at skabe to tal, der deler samme hashværdi. I kryptografisk parlance kaldes dette en kollision, og det betragtes som en meget dårlig ting, fordi den underminerer kryptografisystemets integritet.

"Det er gjort alle nervøse", sagde Rivest, en ingeniør og computervidenskabsprofessor ved Massachusetts Institute of Teknologi. Han ledede holdet, der sendte MD6-algoritmen i NISTs konkurrence.

Nostradamus-hacket viste netop, hvorfor folk var nervøse: Forskere var i stand til at oprette forskellige.pdf-filer, der delte samme hashværdi, ved hjælp af MD5. For at illustrere hvorfor dette er et problem, offentliggjorde de hashværdien af ​​pdf-filen, der indeholder navnet på deres valg fra USAs præsidentvalg i 2008, og oprettet derefter pdfs med navnene på hver enkelt kandidat, som alle delte samme hash.

Det burde næsten være umuligt at gøre under en sikker hash-algoritme.

Hvis Nostradamus-folkene kunne bruge kollisioner til at udføre deres angreb, ville kriminelle i sidste ende kunne skabe falske digitale signaturer og gøre phoney-websider til at se nøjagtigt ud Eksempel: www.bankofamerica.com?

Måske være en dag, sagde Bill Burr, en leder hos NISTs Security Technology Group. "SHA-1 er ikke så brudt i øjeblikket, at vi tror, ​​at folk kan gøre kollisionerne, men vi forventer kollisionen nogen dag," sagde han. "Forestillingen her er, at vi har en dig, og diget er lækker, og vi er så bange for, at vi virkelig kunne have en oversvømmelse."

Selv om den seneste SHA-2-algoritme "sandsynligvis vil forblive sikker i overskuelig fremtid", har den begrænsninger og er baseret på gamle kryptografiske teknikker, sagde Schneier, der sammen med andre har indsendt en hashingalgoritme kaldet Skein. "Jeg synes, der er god grund til at gøre det."

Plukning af den nye hash-algoritme vil ikke ske natten over. NISTs Burr siger, at han ikke forventer at have en SHA-3-vinder frem til 2012, og det kan tage et årti mere for algoritmen at blive almindeligt vedtaget, sagde han. Men konkurrencer som NISTs kommer ikke sammen hver dag, og Burr siger, at han er imponeret over indlæggene. Mange af dem, herunder Rivests MD6-indgivelse, benytter sig af nye multi-processor computere, der nu er almindeligt tilgængelige og kan være hurtigere end dagens algoritmer.

"Det er bare fantastisk mængden af ​​arbejde, der er gået ind i nogle af disse forslag" Burr sagde.

"Nogle af dem ser fantastisk ud, nogle af dem ligner måske, at de blev gjort af et 13-årigt barn, og der er alt i mellem."