Vai al contenuto

Costruzione di Merkle-Damgård

Da Wikipedia, l'enciclopedia libera.

In crittografia, la costruzione di Merkle-Damgård è un metodo per costruire delle funzioni crittografiche di hash resistenti alle collisioni utilizzando delle funzioni a compressione a senso unico[1]. Questa particolare costruzione è stata utilizzata nell'implementazione di molti algoritmi di hash, come ad esempio MD5 e SHA-1[2][3].

La costruzione Merkle–Damgård venne descritta nella tesi di dottorato di Ralph Merkle nel 1979[4]. Successivamente, Ralph Merkle e Ivan Damgård dimostrarono, in modo indipendente, che se viene utilizzato un appropriato schema di padding e la funzione di compressione è resistente alle collisioni, allora anche la funzione di hash è resistente alle collisioni[5][6].

La funzione di hash Merkle-Damgård applica, inizialmente, una funzione a riempimento MD-compliant per creare un input la cui dimensione è un numero fisso (esempio: 512 o 1024). Questo avviene perché le funzioni di compressione non sono in grado di gestire input di dimensioni arbitrarie. La funzione di hash, successivamente, suddivide il risultato in blocchi di dimensioni fisse e li processa uno alla volta con la funzione di compressione, ogni volta combinando l'input con l'output del blocco precedente. Per fare in modo che la costruzione risultasse sicura, Merkle e Damgård proposero di riempire i messaggi con un padding che codificasse la lunghezza del messaggio originario. Questo passaggio viene chiamato lunghezza di padding o rafforzamento di Merkle–Damgård.

Schema che raffigura la costruzione Merkle–Damgård

Nel modello, la funzione di compressione unidirezionale è denominata , essa si occupa di trasformare due input di lunghezza fissa in un output della stessa dimensione degli input di partenza. L'algoritmo parte con un valore iniziale fisso, denominato vettore di inizializzazione (VI). Per ogni blocco del messaggio, la funzione di compressione prende il risultato fino ad ora ottenuto e lo combina con il suddetto messaggio producendo un risultato intermedio. L'ultimo blocco, infine, è riempito con degli "zero" e con dei bit che rappresentano la lunghezza dell'intero messaggio.

Per rafforzare l'hash ulteriormente, il risultato finale viene, in alcuni casi, alimentato attraverso una funzione di finalizzazione. La funzione di finalizzazione può avere molteplici scopi, come ad esempio la compressione di uno stato interno più grande (l'ultimo risultato) in un output più piccolo o per garantire un effetto di mescolamento migliore nei bit della somma di hash. La funzione di finalizzazione è spesso costruita usando la funzione di compressione.

Caratteristiche di sicurezza

[modifica | modifica wikitesto]

La popolarità di questa costruzione è dovuta al fatto (provato da Merkle e Damgård) che se la funzione di compressione unidirezionale è resistente alle collisioni, allora lo sarà anche la funzione di hash costruita utilizzando tale modello[1]. Sfortunatamente, questa costruzione possiede anche delle proprietà indesiderabili:

  • Gli attacchi alla seconda preimmagine contro messaggi di dimensione elevata sono più efficienti di quelli a forza bruta[7].
  • Le multicollisioni (tanti messaggi con il medesimo hash) possono essere trovati con poco lavoro in più rispetto alle semplici collisioni[8].
  • Gli "herding attacks", i quali combinano la costruzione a cascata per la ricerca di multicollisioni con le collisioni trovate in un dato prefisso. Questo permette di costruire documenti collidenti.
  • Estensione di lunghezza: dato l'hash di un input ignoto è facile trovare il valore , dove è la funzione di padding dell'hash. È quindi possibile trovare gli hash degli input relativi ad anche se quest'ultimo rimane ignoto. Gli attacchi di estensione di lunghezza sono stati utilizzati per attaccare alcuni schemi di autenticazione di famosi servizi commerciali come, ad esempio, quello utilizzato da Flickr.
  1. ^ a b Venturi, p. 86.
  2. ^ Venturi, pp. 91-92.
  3. ^ Katz e Lindell, p. 157.
  4. ^ Merkle, pp. 13-15.
  5. ^ (EN) Ralph Merkle, A Certified Digital Signature (PDF), CRYPTO '89, Berlino, Springer-Verlag, 1990, pp. 218-238.
  6. ^ (EN) Ivan Damgård, A Design Principle for Hash Functions (PDF), CRYPTO '89, Berlino, Springer-Verlag, 1990, pp. 416-427.
  7. ^ (EN) John Kelsey e Bruce Schneier, Second Preimages on n-Bit Hash Functions for Much Less than 2^n Work (PDF), EUROCRYPT 2005, Berlino, Springer, 2005, pp. 474-490, DOI:10.1007/11426639_28.
  8. ^ (EN) Antoine Joux, Multicollisions in iterated hash functions. Application to cascaded construction (PDF), CRYPTO 2004, Berlino, Springer, 2004, pp. 306-316, DOI:10.1007/978-3-540-28628-8_19.