Alhoewel de veiligheid van MD5 twijfelachtig is voor de nabije toekomst, is “Voor de geïnteresseerden: ja, je kunt willekeurige andere documenten construeren die dezelfde MD5 hebben als het document wiens handtekening je wilt “lenen”.” niet waar in deze context lijkt me.

Je kunt als aanvaller 2 documenten construeren die dezelfde hash hebben, maar dan moet je het ze beiden van te voren kunnen kiezen als input. (In essentie maken ze eerst een document en kijken of er ergens een combinatie van bits is die ook anders kan zonder het tussenresultaat en dus het eindresultaat te beïnvloeden.)

Je kunt dus (nog) niet gegeven een hash, naderhand een ander document naderhand maken met dezelfde hash.

Als ik het goed begrijp, wordt het eerste document (het proces verbaal) gemaakt door de politie. De politie zou dan van te voren (bijv. met de hulp van de TU/e en een PS3 cluster bijv) een tweede document kunnen maken en ze later verwisselen met behoud van de hash value. Kunnen ze net zo goed het document en de hash waarde tegelijkertijd veranderen in de database denk ik dan.

Het is natuurlijk anders als de input gekozen kan worden door de aanvaller, bijv. voor het digitale bewijsmateriaal dat bij het proces verbaal zou kunnen zitten. Het is overigens redelijk simpel om dat te patchen, zet voor de data waar je een handtekening over zet, een flinke random waarde. Dan is er geen chosen prefix meer en dan kan de aanval niet (behalve natuurlijk voor degene die die random er voor zet, dat is zijn chosen prefix).

Neemt niet weg dat MD5 (en SHA-1) niet meer van deze tijd is voor dit soort designs, al sinds uit mijn hoofd eind 2007. Alleen al voor dit soort discussies over de kwaliteit zou ik het niet gedaan hebben.

“Zie ginds komt de stoomboot“->77d8cf7e0384e4a8d52cfe3837051ec6
“Zegnskm esomot”->150c5c692ffbe00e16a389acdb13a08c

Je slaat dus beide hashes op bij de handtekening.

Ik heb geen wetenschappelijke onderbouwing, maar zou er wel geld op willen zetten dat deze benadering vrijwel niet te kraken is. Hebben we wiskundigen aan boord?

Ps. Nee, ik wil nog niks met Kerstmis doen.

Een veel betere bescherming krijg je door twee totaal verschillende hash functies te gebruiken, bijv. SHA256 en WHIRLPOOL, en beiden over de complete file toe te passen. Nadeel is dat je 2x meer rekenkracht (verwaarloosbaar in praktijk tenzij je het over mobile devices hebt) en 2x meer opslag hebt (voor server domein is dat ook niet een probleem). Je veiligheid is dan zo goed als het maximum van de twee. Clou is dat je wel twee hash functies gebruikt die echt anders in elkaar zitten, zodat een aanval op de ene niet op de ander van toe passing is (hoop je).

Zoals met al deze dingen, het zit vol met vervelende kleine details die spectaculair kunnen ontploffen op de verkeerde manier (het is een erg leuk veld ).

Een groot punt om in de gaten te houden in deze discussie, is dat file + hash opslaan leuk is, maar alleen als je die hash beschermd tegen wijziging je weet dat de file ongewijzigd is. En “ongewijzigd” is ook het enige wat die hash puur zegt. Je kunt van een correct geverifieerde hash niet uit concluderen dat de file op een bepaald moment bestond of niet, niet dat alleen de politie die hash gemaakt kan hebben (authenticiteit, bedenk maar: er gaat geen geheim in dat alleen de politie kent), niet dat de input geheim is, etc. Dus het “vastleggen” van die hash gaat het probleem worden dan.

Voor de mensen die het crypto-magie boek Applied Cryptography van Bruce Schneier gelezen hebben is een snelle indruk dat je alles kunt oplossen met crypto. Helaas is dat niet waar, je kunt daar mee een groot probleem naar een ander, makkelijker probleem omzetten, maar het probleem blijft. Encryptie maakt het moeilijke probleem van geheim houden van data een makkelijker probleem van het geheim houden van een key, maar dat moet je dan ook wel doen! Wet van behoud van ellende, of TANSTAAFL zeg maar

Maar we dwalen wel erg af op een detail opmerking Het steeds maar vergaren en steeds minder vergeten van data is een veel groter punt van zorg voor mij. Vooral in combinatie met het blinde vertrouwen in die gegevens, terwijl daar ook fouten in zitten en interpretatie erg aan de context hangt. Die richtlijn om googelen van sollicitanten te melden is in mijn inzicht bijv. een stap om dergelijke zaken juist weer meer in context te kunnen trekken.