Amadores e Profissionais Adquirem Novo Padrão de Criptografia

Peter Schmidt-Nielsen, de 15 anos, passou apenas um mês trabalhando em sua apresentação, mas acha que ele inventou algo "incomum e novo". Não importa que ele esteja enfrentando alguns dos criptógrafos mais famosos do mundo.

Schmidt-Nielsen é um dos mais de 60 participantes no que se espera de um concurso de quatro anos para escolher um novo algoritmo de hash que ajudará a bloquear a criptografia usada por tudo, de sistemas de pagamento baseados na Web para proteger e-mail a ferramentas de gerenciamento de código-fonte.

O concurso, patrocinado pelo Instituto Nacional de Padrões e Tecnologia (NIST), espera encontrar um novo algoritmo de hash criptográfico. para substituir o algoritmo SHA-2 (Secure Hash Algorithm - 2) que o NIST publicou oito anos atrás. O prazo final para a submissão de SHA-3 foi 31 de outubro, e o NIST espera reduzir o campo para 15 ou 20 competidores até o próximo mês de agosto. É aí que o trabalho duro de martelar as submissões e derrubar quaisquer falhas realmente começarão.

[Leia mais: Como remover malware do seu PC com Windows]

Schmidt-Nielsen e outros estão fazendo seu trabalho sem pagar, competindo principalmente pelo prestígio e pela emoção de ver seu trabalho analisado por seus pares. "Eu acho que é muito divertido", disse Schmidt-Nielsen, que entrou pela primeira vez em criptografia com a tenra idade de 13 anos. "Será realmente fascinante ver meu algoritmo ser completamente dilacerado."

Também na corrida são criptógrafos famosos como Bruce Schneier, diretor de segurança da BT, e Ron Rivest, que inventou o algoritmo de hash MD5 amplamente utilizado.

Mas o que é um algoritmo hash?

Hashing é conversa por computador para encontrar uma maneira de uma mensagem - um e-mail, por exemplo - e representá-lo com um número único que parece ser aleatório. O hash foi desenvolvido como uma maneira de reduzir a sobrecarga de computação quando os programas estão fazendo coisas como a verificação de arquivos para ver se eles foram alterados. É muito mais rápido comparar dois valores de hash do que verificar arquivos inteiros em busca de alterações.

Em um hash criptográfico, o número é criptografado, criando uma assinatura digital que pode ser verificada usando a criptografia de chave pública. Na prática, essas assinaturas digitais são usadas para confirmar, por exemplo, que um site realmente é o site que ele afirma ser, ou que uma mensagem de e-mail é da pessoa que afirma tê-lo enviado, e que não tem A partir de 2004, os pesquisadores liderados por Wang Xiaoyun, da Universidade de Shandong, encontraram fraquezas nos algoritmos de hash MD5 e SHA-1. Eles descobriram que era mais fácil do que se pensava criar dois números que compartilham o mesmo valor de hash. No jargão criptográfico isso é chamado de colisão, e é considerado uma coisa muito ruim porque prejudica a integridade do sistema criptográfico.

"Isso deixa todo mundo nervoso", disse Rivest, professor de engenharia e ciência da computação do Instituto de Massachusetts. Tecnologia. Ele liderou a equipe que apresentou o algoritmo MD6 no concurso do NIST.

O hack Nostradamus mostrou por que as pessoas estavam nervosas: Usando o MD5, os pesquisadores conseguiram criar diferentes arquivos.pdf que compartilhavam o mesmo valor de hash. Para ilustrar por que isso é um problema, eles publicaram o valor de hash do arquivo pdf contendo o nome de sua escolha da eleição presidencial dos EUA em 2008 e, em seguida, criaram pdfs com os nomes de cada candidato, todos compartilhando o mesmo hash. Isso é praticamente impossível de ser feito sob um algoritmo hash seguro. Se as pessoas do Nostradamus pudessem usar colisões para realizar seu ataque, os criminosos poderiam eventualmente criar falsas assinaturas digitais e fazer sites phishing phishing parecerem exatamente iguais, por exemplo? exemplo, www.bankofamerica.com?

Talvez algum dia, disse Bill Burr, gerente do Grupo de Tecnologia de Segurança do NIST. "O SHA-1 não está tão quebrado no momento que pensamos que as pessoas podem fazer as colisões, mas esperamos que a colisão seja feita em qualquer dia", disse ele. "A ideia aqui é que temos um dique e o dique está vazando, e estamos com medo de que possamos realmente ter uma inundação".

Mesmo que o mais recente algoritmo SHA-2 "provavelmente permaneça seguro no futuro previsível", ele tem limitações e é baseado em antigas técnicas criptográficas, disse Schneier, que juntamente com outros autores apresentou um algoritmo de hash chamado Skein. "Eu acho que há boas razões para fazê-lo."

Escolher o novo algoritmo de hash não será feito da noite para o dia. O Burr do NIST diz que não espera ter um vencedor do SHA-3 até 2012, e pode levar uma década a mais para que o algoritmo seja amplamente adotado, disse ele.

Mas concursos como os do NIST não aparecem todos os dias, e Burr diz que está impressionado com as submissões. Muitos deles, incluindo a submissão MD6 da Rivest, aproveitam os novos computadores multi-processadores que agora estão comumente disponíveis e poderiam ser mais rápidos do que os algoritmos atuais.

"É incrível a quantidade de trabalho que foi gasto em algumas dessas propostas". Burr disse.

"Alguns deles parecem fantásticos, alguns deles parecem que talvez tenham sido feitos por uma criança de 13 anos de idade, e há tudo entre os dois."