Перемешать для общего блага

Группа специалистов в области криптографии из академических кругов и компа­ний отрасли выступила организаторами международного конкурса Password Hashing Competition, призванного приблизить разработку нового, более устойчи­вого к взлому алгоритма хэширования паролей.

Организаторы создали сайт конкурса, на котором участники могут размещать свои работы. Срок завершения подачи проектов — 31 января 2014 года. На сайте размещены также технические рекомендации и разъяснение принципов оценки работ. Призы победителям не предусматриваются. Основной организа­цией, выпускающей стандарты шифрования и хэширования, является американ­ский Национальный институт стандартов и технологий (NIST).

Алгоритмы хэширования (дословно — перемешивания) преобразуют текстовые пароли в символьно-цифровые последовательности, что затрудняет для зло­умышленников доступ в базы данных, поддерживающие сайты. В числе популяр­ных стандартов таких алгоритмов — SHA, или Secure Hash Algorithm, поддержива­емый NIST. Он был разработан Агентством национальной безопасности США.

SHA представляет собой многоцелевой стандарт, неоптимальный для шифрова­ния паролей к веб-сайтам. Чем быстрее выполняется хэширование данных, тем проще злоумышленникам, применяя метод «грубой силы» восстановления паро­лей, используя мощные компьютеры, подобрать пароли путем их перебора. Если процесс перебора требует продолжительного времени, цель становится непрактичной с точки зрения хакера.

Организаторы конкурса нацелены на разработку стандарта, предполагающего продолжительный процесс хэширования, который, однако, не приводил бы к слишком долгому ожиданию авторизации для посетителей сайтов, как пояснил один из судей конкурса Жан-Филипп Ома, специалист по криптографии, работа­ющий в швейцарской компании Kudelski Security.

«С точки зрения защиты чем медленнее, тем лучше, — пояснил Ома. — Но нужно учитывать вопросы удобства пользования, а здесь важна скорость. Требу­ется найти компромисс между скоростью и надежностью».

NIST занимается мониторингом конкурса, кроме того, один из его сотрудников, Мелтем Сонмез Туран, входит в судейскую коллегию. Организации по стандарти­зации смогут извлечь лучшее из технологий-победителей и включить их в буду­щие стандарты.

Несмотря на то что стандарт SHA используется несколько десятилетий, хэширо­вание паролей для доступа на веб-сайты — относительно новая тенденция. Стандарты же должны быть ориентированы на приложения, которые нужны сей­час. Международным организациям по стандартизации, таким как International Organization for Standardization и Internet Engineering Task Force, еще предстоит вплотную заняться этими вопросами.

Пока же недостаточный выбор технологий шифрования приводит к частому взло­му паролей, как это, например, случилось с LinkedIn в прошлом году. Были укра­дены и вскрыты миллионы хэшированных паролей, которые затем были опубли­кованы на форуме российских хакеров.

Организаторы конкурса рассчитывают получить эффективные предложения для веб-сайтов и мобильных устройств, хотя не предполагают, что какая-либо из тех­нологий будет напрямую использована в качестве стандарта, подчеркнул Ома. В большей степени и этот конкурс, и аналогичные мероприятия, которые предпо­лагается проводить в ближайшее десятилетие, направлены на то, чтобы при­влечь внимание разработчиков и пользователей к необходимости совершенство­вать технологии хэширования паролей.

Разработчики сейчас фактически не имеют выбора, поскольку достаточно эффек­тивных технологий просто нет. «Эту ситуацию мы и пытаемся исправить», — сказал Ома.

В числе судей конкурса Мэттью Грин, специалист Университета им. Джона Хоп­кинса; Марш Рей, сотрудник Microsoft; Дженс Штубе, работающий в рамках проек­та Hashcat Project; Питер Гутман из Оклендского университета.