Názory k článku
Zavedení hash algoritmů SHA-2 v prostředí OS Microsoft Windows

To dává smysl. Operační systém SHA-2 podporuje. Ještě je potřeba, aby SHA-2 podporovaly aplikace, které si s mým programem vyměňují data.

A co tak použít nějakou aplikaci jiného výrobce než MS, který umí SHA-2, k podepisování mailu? A co s tím má proboha společného ms office? Nešlo by to napsat trošku srozumitelněji???

Každý modelový příklad je vždy určitým zjednodušením a v tomto případě jsem se zabýval pouze MS Office. Samozřejmě, že je možné použít i jinou aplikaci, která umí využít SHA-2, pro podepisování mailů. Důležité je, aby příslušná aplikace přímo v sobě vyřešila formátování S/MIME (PKCS#7).

Pokud mám na Win XP SP3 certifikát, se Signature algorithm = sha256RSA, zaregistrovaný s Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), je možné použít tento certifikát v MS Outlook 2007 pro podpis mailu s použitím hash algoritmu SHA256?

Bohužel nikoliv. MS Outlook 2007 na Windows XP SP3 nenabídne možnost pro využití algoritmu SHA-2.

V popisu fungování elektronického popisu je zásadní chyba. Mezi vlastnostmi hash funkcí je uvedeno:

Každá dvojice neidentických zpráv vede na totálně rozdílnou hodnotu hash, dokonce i v případě, že se dvě zprávy liší pouze v jediném bitu. I pro splnění této podmínky se přechází na hash algoritmy s větší délkou výstupní hodnoty.

Kdyby tohle byla pravda, tak se s nějakým přechodem na SHA-2 nikdo neobtěžuje a dodnes si veškerá data nosíme na disketách. Film by se nestahoval z internetu několik hodin, ale dal by se napsat na papírek.

Skutečností je, že existuje teoreticky nekonečné množství různých zpráv, které mají stejný hash. Aby tedy vůbec použití hash funkce mělo smysl, jsou tyto funkce navržené tak, aby bylo obtížné k jedné zprávě (té, kterou podepisuji) vytvořit jinou, která by měla stejný hash a tudíž by měla stejný podpis. Pokud by nalezení další zprávy se stejným hashem bylo snadné, bylo by možné místo původní zprávy podvrhnout jinou, která by ale měla stejný klíč.

A to je důvod upgradu na SHA 2. S tím, jak roste výkon počítačů a s tím, jak rostou naše znalosti hashovacích funkcí, blíží se doba, kdy v případě SHA 1 vytvoření nové zprávy se stejným klíčem už nebude až takový problém. Na SHA 2 se přechází proto, abychom toto hledání opět o něco stížili a získali další čas.

Možná ne zcela jasně, ale věta "I pro splnění této podmínky se přechází na hash algoritmy s větší délkou výstupní hodnoty." měla naznačit, že právě tady je zakopán pes. Problematice SHA bylo věnováno spoustu jiných článků, proto jsem již tak dlouhý článek těmito podrobnostmi nenatahoval.

Napsal jste pěkný článek a ke všemu máte ještě pravdu ve své větě "I pro splnění..." Pan kolega Karel B výše Vás trochu pokritizoval za nepřesnost "Každá dvojice neidentických zpráv vede na totálně rozdílnou hodnotu hash". Ano, má pravdu, je to nepřesné, ale v kontextu článku myslím přípustné, protože právě v té další větě "I pro splnění..." jste to upřesnil (viz dále problém kolizí). Karel B naopak zase malinko ujel v tom, že důvodem přechodu na SHA2 je problém nalezení druhé zprávy k dané již existující tak, aby měly stejnou haš (tzv. problém nalezení druhého vzoru). Není tomu tak. Proč? U SHA-1 je složitost nalezení druhého vzoru odhadována na (2 na 160), a dokonce i u MD5 je to stále (2 na 128), což je v obou případech uspokojující složitost, kterou nedokážeme překonat hrubou silou. Na nové haše se přechází z důvodu problému nalezení kolizí ! (tj. nalezení libovolných dvou různých zpráv, majících stejnou haš) - u MD5 je to jednoduché (to jsem se už naučil), u SHA-1 to ještě uděláno není, ale odhadovaná složitost je cca (2 na 61). To je ten problém.
Srdečně zdraví,
Vlastimil Klima

Dovolim si Vase vysvetleni prechodu na SHA2 vysvetlit trochu polopaticteji. Doufam, ze se nedopustim chyby:

U MD5 je problem ten, ze uz nyni je technicky mozne pripravit si dve zpravy, ktere maji stejny hash/podpis. Jednu si necham nekym podepsat a o druhe tvrdim, ze to je ta, kterou dotycny podepsal. (U SHA1 se tato situace ocekava v brzke dobe.)

Každé tvrzení se provádí v určitém kontextu a mimo něj nemusí platit. Kontextem autora zde zjevně je "výpočetní neschůdnost nalezení takových kolizí". Z hlediska teorie pochopitelně máte pravdu, viz např. můj článek: http://www.lupa.cz/clanky/hasovaci-funkce-jak-se-odolava-hackerum/ popř. následujícím http://www.lupa.cz/clanky/zustava-elektronicky-podpis-bezpecny/ (názvy článků jsou redakční). Přitom by bylo možné se vyjadřovat ještě více matematicky abstraktně, ale to by již bylo pro zcela jiné čtenáře a účely.

Hodnota tohoto článku je v informacích o funkcích různých verzí OS Windows s ohledem na SHA-2. Na úvod článku jeho autor podává stručný (a pochopitelně zjednodušený) výklad účelu hašovacích funkcí.

Důležité informace v článku, které jinde nenajdete, jsou od "Co je třeba změnit pro využití algoritmů SHA-2". I tvrzení v této části je vhodné si ověřit, popř. se kriticky ptát, za jakých okolností přesně platí. Viz můj příspěvek níže.

Moje zkušenosti souhlasí, pod W7+Outlook2007 při nastavení SHA-2* nejde tento mejl v těch samých outloocích na WXP otevřít, takže to není možné v Outlook 2007 používat ani na "příjem".

Pokud chcete maily podepsané s využitím algoritmu SHA-2 přijímat na Windows XP SP3 v Outlooku 2003/2007, musíte si nainstalovat tento hotfix http://support.microsoft.com/kb/968730. Maily bude moci přijmout, zobrazit, ale není 100% k dispozici funkce plného ověření podpisu.

Rád bych řekl, že tento článek je velmi cenný, protože obsahuje dříve neuváděné podrobnosti, které se obtížně zjišťují.

Robert Hernady pracuje v Microsoft ČR a proto lze článek chápat i jako "nejoficiálnější neoficiální vyjádření" k podpoře SHA-2 na platformách Windows.

Na druhé straně musíte věnovat velkou pečlivost čtení a následně ověřování toho, jak vaše aplikace pracují, zda používají knihovny OS Windows (většina aplikací na OS Windows tak činí), popř. knihovny jiné. Bude velmi mnoho aplikací s e-podpisem, které na Win XP SP3 bez úprav pracovat prostě nebudou, u mnoha z nich úprava nebude možná a migrace na vyšší verzi OS bude nutná. Autor článku pouze uvádí, že jím doložil, že "upgrade není naprosto nezbytný".

Existuje mnoho aplikací využívající formát CMS (PKCS #7) a knihovny OS Windows, které jak patrno z příslušné tabulky, na XP SP3 chodit prostě nikdy nebudou.

Na druhé straně je správně upozorněno i na to, že pouhý upgrade na vyšší OS také nemusí nestačí.

Ověřit funkci musíte tak činit aplikace po aplikaci, kterou používáte nebo chcete používat s novými certifikáty SHA-2.

Za nejjistější považuji vyjít z informací v článku uvedených, přesto však skutečnou činnost ověřit. Se 1) skutečnými aplikacemi, na 2) skutečných operačních systémech, se 3) skutečnými certifikáty s SHA-2. Protože nemůžete vyloučit dílčí chybu (aplikace, os, autora) nebo naprosté zvláštnosti vaší kombinace, ani vlastní omyl při výkladu.

Děkuji za přesný komentář. Cílem článku má být, aby si každý uvědomil, že mouhou nastat případy, kdy úpravou aplikace bude i na Windows XP SP3 dosaženo požadované funkčnosti. Na druhou stranu budou existovat případy, kdy již bude nutné provést upgrade na vyšší verze OS. A v neposlední řadě jak již bylo zmíněno, prostý upgrade OS problém nevyřeší.
Matice produktů a variant problémů je "téměř" nekonečná a každý si musí prověřit tu svoji. Zkuste si připomenout co se dělo před rokem 2000.

Bylo by hodně technicky složité doplnit do Windows XP SP3 "Cryptography API: Next Generation (CNG)"? Snad by to mohl být řešitelný problém. Je mi jasné, že Microsoft to asi dělat nebude. Snižoval by tím prodejnost nových Windows. Ale co jiné komerční subjekty? Je to vůbec technicky a licenčně možné, aby někdo třetí vytvořil takový upgrade? Pro subjekty používající WXP by mohlo být za určitých okolností výhodné pořídit tento (placený) upgrade a tím prodloužit životnost Windows XP. Postupně pak přecházet třeba na Windows 7. Získal by se tím čas na postupný upgrade OS. Pro tvůrce takového upgrade by to bylo velmi ziskové. Podle mě by to bylo zajímavé řešení a pro všechny přínosné (snad kromě Microsoftu, který stejně nakonec o své zisky nepřišel).

K tomu se asi pan Hernady nevyjadri, ale predpokladam, ze nejaky "hacker" by to zvladnout mohl.

Robert Hernady hodně cestuje, takže asi nebude hned reagovat na každý příspěvek do diskuse.
Jinak MS CryptoAPI je otevřené pro jakákoliv rozšíření třetích stran (CSP), takže podporu jakýchkoliv algoritmů lze doplnit (asi to ale nebude zadarmo).

Řešení je vcelku jednoduché:

Kupte si čipovou kartu co podporuje SHA-2, dejte si na ní svůj certifikát a máte vystaráno. V tomto případě se totiž použije namísto defaultního Microsoftího SCP ten co dostanete k čipové kartě a máte po problému.

Doplňovat "Cryptography API: Next Generation (CNG)" ani volat hackera rozhodně nemusíte.

BTW, v Rusku to takhle dělají už léta, neb ruské zákony nařizují používat výhradně algoritmus GOST, který ve Windows není a nikdy ani nebude.

SHA2 2048 je podle mě úplná zbytečnost a pokud to navíc způsobuje problémy, tak je to vyslovená hloupost.

ooops

Možná mi něco uniká, ale proč nepoužít Firefox a Thunderbird. Oba silnější šifrování bez problémů zvládají?

Předem děkuji za obsažný a cenný článek.
Bojuji s podepisováním kódu makra v Excelu, které mi před zavedením SHA-2 fungovalo bez problémů. Po obnově certifikátu PostSignum s délkou klíče 2048b jsem ale rozchodil pouze podpis e-mailu v Outlooku 2007. Není ale nadále možné podepsat dokument Word/Excel (2007 SP2) a hlavně není možné podepsat makro Excelu. Při pokusu o podpis mi systém píše chybové hlášení o čipové kartě (kterou nemám a nikdy jsem v systému neměl nainstalovanou). Setkal se prosím někdo s takovým chováním systému? (Windows 7 Business x64, Office 2007 SP2 kompletní aktualizace). Zkoušel jsem podpis i na Vista x32, kde se kupodivu VBA podepsat dá, ale při následném otevření sešitu není možné přidat vydavatele do důvěryhodných a tím makro spustit - což u původního certifikátu možné bylo (podotýkám, že makro je určeno pro zákazníky, kteří nesmí mít jinou než střední bezpečnost excelu). Na helpdesku PostSignum si s tím rady nevědí, řeší maximálně podpis v outlooku.
Děkuji.

Sice jsem ne všemu rozměl ale je to krásný článek :-) Nicméně k věci: Vygeneroval a vyexportoval jsem si nový cert od ICA na WinXP a nedařilo se mi jej naimportovat do Win7. řešení jsem nalezl zde http://social.technet.microsoft.com/Forums/cs-CZ/windowsvistacs/thread/d2327782-8889-4d4c-86e9-96ba6cf4f83e :-)
Stačilo naimportovat jako pfx do firefoxu a vyexportovat do p12 - následný import do Win7 byl již OK.