Che cos’è l’Attacco del compleanno e come proteggersi

Che cos’è l’Attacco del compleanno e come proteggersi

Le funzioni di Hash possono essere vulnerabili ad attacchi informatici di vario genere. La categoria di attacchi per sistemi informatici più conosciuta va sotto il nome di Attacchi del Compleanno o Birthday Attacks.

Questa denominazione deriva dal fatto che questi sono basati sul Paradosso del compleanno. Di fatto, nel calcolo delle probabilità associate a questo paradosso si afferma che:

Selezionate a caso un numero di persone maggiore od uguale a 23 la probabilità che almeno due di queste compiano gli anni lo stesso giorno è maggiore di 0,5.

Detto ciò, possiamo dunque affermare che l‘attacco di compleanno è un tipo di attacco crittografico che appartiene a una classe di attacchi di forza bruta. Questo attacco sfrutta di fatto la matematica alla base del problema del compleanno nella teoria della probabilità. Il successo di questo attacco dipende in gran parte dalla maggiore probabilità di collisioni riscontrate tra tentativi di attacco casuali e un grado fisso di permutazioni, come descritto appunto nel problema del paradosso del compleanno.

Che cos'è l'Attacco del compleanno e come proteggersiProtezione dall’attacco del compleanno

Come è possibile protegersi dall’attacco del compleanno?

In un contesto di firma digitale è molto importante proteggersi contro gli attacchi suddetti, quindi è necessario utilizzare una funzione di hash resistente alle collisioni (fortemente senza collisioni).

Per far questo si deve procedere in questo modo:

  1. Si generano una quantità di varianti di messaggi che il potenziale mittente si sente pronto a firmare;
  2. Parallelamente si generano una quantità di messaggi alterati, ma che producono i medesimi risultati di Hash (si producono perciò collisioni);
  3. A questo punto è sufficiente distaccare la firma dal messaggio originale ed attaccarla al messaggio alterato. Essendo questi messaggi una collisione per la funzione di Hash risulteranno indistinguibili per il destinatario.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *