Un pizzico di sale con le funzioni Hash

-

Qualcuno di voi mi dirà: "ancora?"

Sì sì ancora! Con mio grande stupore questo argomento non è ancora ben conosciuto e compreso nella comunità dei developer che, pur avendo capito che le password non si scrivono in chiaro ma conviene comunque hasharle con una funzione one-way, si dimenticano (o peggio non sanno) che nel caso di hash per autenticazioni devono aggiungere il cosiddetto SALT (sale).

Il concetto di SALT è ben vecchio e consiste nell'aggiungere una stringa binaria casuale di lunghezza prefissata e sufficientemente lunga alla password in chiaro, per poi passare il risultato ad una funzione hash (MD5, SHA1, etc.). Questo componendo N volte la funzione di Hash. Poi, nel passo finale, aggiungere il SALT e il numero di iterazioni N in chiaro.
Con una notazione un po' più formale: se H è la funzione di hash prescelta, N il numero di volte che viene applicata, PASSWORD(k) è la k-esima password e SALT(k) è una stringa binaria casuale di lunghezza prefissata (e possibilmente abbastanza lunga) per la k-esima password, allora quello che memorizzeremo nel nostro campo password è il valore SALTED-HASH, dove:

SALTED-HASH := H(H(...(H(PASSWORD(k)+SALT(k))+...)+SALT(k))+SALT(k)) + SALT(k) + N

La determinazione di SALTED-HASH ha un costo O(N). Anche se N fosse 1000 (e il PKCS5 prevede appunto 1000 iterazioni) è comunque un tempo costante impiegato unicamente alla prima registrazione della password.

Quando invece si deve verificare la password immessa dell'utente USERNAME, si scorre la tabella per trovare il dato identificativo USERNAME (k-esimo) e si ricavano la corrispondente stringa SALTED-HASH, N e SALT(k) (questi ultimi due di lunghezza prefissata e in chiaro). Si ricalcola quindi la funzione SALTED-HASH a partire dalla password immessa dall'utente, verificando se vi sia corrispondenza o meno con quella memorizzata. Anche qui il tempo è costante e nell'ordine di O(N) per ogni accesso.

Perché è necessario comporre N volte la funzione hash prescelta con questo dato casuale chiamato SALT?

Per evitare che il file delle password possa essere sottoposto ad attacchi del dizionario, Rainbow Table, o attacchi a forza bruta.

Con un insieme di Hash precalcolati di un dizionario o di un insieme di stringhe, posso facilmente trovare le eventuali corrispondenze tra il mio dizionario hashato (senza salt) e qualche hash nel file delle password. Risalendo così alla password in chiaro.

Inserendo invece il SALT e applicando la composizione della funzione Hash, si introduce un dato casuale per ogni password, che richiederebbe ad un attaccante, sempre per ogni password, di ricalcolare tutti gli hash del dizionario utilizzato per l'attacco. La stessa cosa vale per attacchi a forza bruta o rainbow table. In questo modo il costo computazionale dell'attacco sarebbe quindi molto svantaggioso rendendo l'attacco vano.

In conclusione: aggiungere il SALT e utilizzare la composizione della funzione Hash N volte è un MUST e deve essere considerato un requisito di sicurezza qualora si utilizzi una funzione Hash per autenticare utenze. E comunque non utilizzate più l'MD5, almeno uno SHA1!

Sempre sull'argomento qualche post da Coding Horror più "filosofico":

Commenti

  1. Daniele Frongia19 settembre 2008 alle ore 07:43

    Ciao Roberto, complimenti per il tuo blog e per i tuoi post sulle funzioni hash. Io sto terminando un paper sull'hashing con php (con licenza creative commons, e che poi andrà su wikibooks). Volevo chiederti: posso utilizzare la foto di questo articolo (HASH con lo sfondo di..sale) per il paper? ovviamente con citazione e ringraziamenti.
    segnalazionit [at] gmail

    RispondiElimina
  2. Roberto Scaccia9 ottobre 2008 alle ore 12:05

    Darò una letta alla vostra pubblicazione (e magari ci faccio anche un post ;-))

    RispondiElimina
  3. alessio20 aprile 2009 alle ore 14:32

    Vero, ma anche SHA1 e' vulnerabilissimo :-)

    RispondiElimina

Posta un commento

Post popolari in questo blog

Exploit: icsploit o espluà?

-
Immagine
Non ce la faccio più! Continuo a sentir pronunciare " exploit ", nel senso di " sfruttamento di una vulnerabilità informatica ", in francese: espluà ! E' quasi un pugno nello stomaco! Sebbene il termine inglese derivi dal francese, quando si usa nel contesto della sicurezza informatica, la pronuncia è in inglese, ovvero " ecsploit "o " icsploit " (a seconda che sia un sostantivo o un verbo). E poi visto che la consuetudine è quella di usare termini inglesi nel contesto informatico, e per amore di un unico e non ambiguo vocabolario, usiamo i termini inglesi quando ci riferiamo a cose ben specifiche  e relative all'informatica. Per essere estremamente chiari, se dobbiamo parlare di "SQL Injection" non è che possiamo tradurla come "inoculazione di sequenze maliziose in una istruzione del linguaggio SQL". Non si capisce nulla! Altrimenti torniamo al caro professore che insisteva nel tradurre "Computer" in "...
Continua a leggere

TrueCrypt 5.0: nuova release

-
E' uscita la nuova versione di TrueCrypt 5.0 (ricordo che è Free e Open Source). Importanti le novità: Features : permette di cifrare una intera partizione del disco con un'autenticazione pre-boot; inserita una pipeline per le operazioni di read/write che migliorano le prestazioni fino al 100% su Windows; nuova versione per Mac OS X; GUI per TrueCrypt su Linux; utilizzo di XTS - approvato recentemente come standard IEEE 1619 - per la protezione crittografica di device per lo storage a blocchi; sostituzione dello SHA1 con il più sicuro SHA-512. Bug fix : versione su Linux completamente ridisegnata per sopperire ai problemi dovuti all'aggiornamento del kernel; correzioni di bug e falle di sicurezza. Ho provato la nuova versione sia su Windows XP che su Vista Home Premium. Su XP Professional o Home nessun problema. Potete addirittura non disinstallare la vecchia versione, reinstallando tutto sopra. In Vista consiglio di disinstallare la vecchia versione, riavviare e poi ins...
Continua a leggere

ING Direct: ancora con il PAD numerico rotante!

-
Immagine
Quanti anni saranno che ING Direct ci propina il suo sistema di autenticazione? Avete presente il PAD numerico in cui ogni volta che si accede vengono cambiate le posizioni dei numeri sul tastierino? Negli anni avranno sicuramente cambiato la tecnologia sottostante e le tecniche di sicurezza, tanto è vero che alcuni script client-side inclusi nella pagina, con un breve giro con Firebug, sono generati server-side con URL randomiche (solo nell'ultima parte) e Firebug non riesce a mostrarli. Ma a parte la loro bravura nell'offuscare il codice, perché di offuscamento si tratta, quando si decideranno ad utilizzare un meccanismo di autenticazione a 2 fattori? Una cosa che tu sai + Una cosa che tu hai Potrei suggerire uno degli innumerevoli Token OTP che ormai molte banche danno ai loro correntisti e che li tranquillizzano non poco nell'accesso ai propri conti on-line. Provate a chiedere ad un utente se è più o meno tranquillo con un Token fisico che solo lui detiene e che ogni 30...
Continua a leggere