Amatir dan Kelebihan Vie untuk Membangun Standar Crypto Baru

Peter Schmidt-Nielsen yang berusia lima belas tahun hanya menghabiskan waktu satu bulan untuk bekerja, tetapi menurutnya dia datang dengan sesuatu yang "tidak biasa dan baru". Tidak masalah bahwa dia melawan beberapa cryptographers paling terkenal di dunia.

Schmidt-Nielsen adalah salah satu dari lebih dari 60 pendatang dalam apa yang diharapkan menjadi kontes empat tahun untuk memilih algoritma hashing baru yang akan membantu mengunci kriptografi yang digunakan oleh segala sesuatu dari sistem pembayaran berbasis Web untuk mengamankan e-mail ke alat manajemen kode sumber.

Kontes, yang disponsori oleh Institut Nasional Standar dan Teknologi (NIST), berharap menemukan algoritma hash kriptografi baru untuk menggantikan algoritma SHA-2 (Secure Hash Algorithm - 2) yang diterbitkan NIST delapan tahun lalu. Batas waktu untuk pengiriman SHA-3 adalah 31 Oktober, dan NIST berharap untuk memotong lapangan menjadi 15 atau 20 kontestan pada Agustus mendatang. Saat itulah kerja keras memalu pengajuan dan melumpuhkan segala kekurangan akan benar-benar dimulai.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Schmidt-Nielsen dan yang lain melakukan pekerjaan mereka tanpa bayaran, bersaing terutama untuk prestise dan sensasi melihat pekerjaan mereka dianalisis oleh rekan-rekan mereka. "Saya pikir itu sangat menyenangkan," kata Schmidt-Nielsen, yang pertama kali masuk ke kriptografi pada usia 13 tahun. "Ini akan sangat menarik untuk menyaksikan algoritme saya benar-benar tercabik."

Juga dalam berlari adalah cryptographers terkenal seperti Bruce Schneier, kepala petugas keamanan BT, dan Ron Rivest, yang menemukan algoritma hash MD5 yang banyak digunakan.

Tapi apa itu algoritma hash?

Hashing adalah pembicaraan komputer untuk menemukan cara untuk mengambil pesan - e-mail, misalnya - dan mewakilinya dengan nomor unik yang tampak acak. Hashing dikembangkan sebagai cara untuk mengurangi overhead komputasi ketika program melakukan hal-hal seperti memindai file untuk melihat apakah program telah diubah. Ini jauh lebih cepat untuk membandingkan dua nilai hash daripada memindai seluruh file untuk perubahan.

Dalam hash kriptografi, nomor tersebut dienkripsi, membuat tanda tangan digital yang dapat diverifikasi menggunakan kriptografi kunci publik. Dalam praktiknya, tanda tangan digital ini digunakan untuk mengonfirmasi, misalnya, bahwa situs Web benar-benar adalah situs yang diklaimnya, atau bahwa pesan email berasal dari orang yang mengklaim telah mengirimnya, dan bahwa itu tidak Telah dirusak di sepanjang jalan.

Mulai tahun 2004, para peneliti yang dipimpin oleh Wang Xiaoyun dari Universitas Shandong menemukan kelemahan dalam algoritma hash MD5 dan SHA-1. Mereka menemukan bahwa itu lebih mudah daripada yang diperkirakan untuk membuat dua angka yang berbagi nilai hash yang sama. Dalam bahasa kriptografi ini disebut tabrakan, dan itu dianggap hal yang sangat buruk karena merusak integritas sistem kriptografi.

"Ini membuat semua orang gugup," kata Rivest, seorang profesor teknik dan ilmu komputer di Massachusetts Institute of Teknologi. Dia memimpin tim yang mengirimkan algoritma MD6 dalam kontes NIST.

Peretasan Nostradamus menunjukkan mengapa orang-orang merasa gugup: Menggunakan MD5, peneliti mampu membuat file.pdf berbeda yang berbagi nilai hash yang sama. Untuk mengilustrasikan mengapa ini menjadi masalah, mereka menerbitkan nilai hash dari file pdf yang berisi nama pemilihan presiden AS 2008 mereka, dan kemudian membuat pdf dengan nama setiap kandidat tunggal, yang semuanya berbagi hash yang sama.

Itu seharusnya hampir tidak mungkin dilakukan di bawah algoritma hash yang aman.

Jika orang-orang Nostradamus dapat menggunakan tabrakan untuk melakukan serangan mereka, para penjahat akhirnya dapat membuat tanda tangan digital palsu dan membuat situs phishing phishing terlihat persis seperti, untuk Misalnya, www.bankofamerica.com?

Mungkin beberapa hari, kata Bill Burr, seorang manajer dengan NIST's Security Technology Group. "SHA-1 tidak begitu rusak pada saat kita berpikir bahwa orang dapat melakukan tabrakan, tetapi kami mengharapkan tabrakan setiap hari," katanya. "Gagasan di sini adalah kita punya tanggul dan tanggulnya bocor, dan kita agak takut kita bisa benar-benar banjir."

Meskipun algoritma SHA-2 terbaru "kemungkinan akan tetap aman untuk masa mendatang," memiliki keterbatasan dan didasarkan pada teknik kriptografi lama, kata Schneier, yang bersama dengan yang lain telah mengajukan algoritma hashing yang disebut Skein. "Kurasa ada alasan bagus untuk melakukannya."

Memilih algoritma hash baru tidak akan dilakukan dalam semalam. NIST's Burr mengatakan dia tidak berharap untuk memiliki pemenang SHA-3 sampai 2012, dan mungkin diperlukan waktu satu dekade lebih untuk algoritma tersebut diadopsi secara luas, katanya.

Tapi kontes seperti NIST tidak datang setiap hari, dan Burr mengatakan dia terkesan dengan pengirimannya. Banyak dari mereka, termasuk penyerahan MD6 Rivest, mengambil keuntungan dari komputer multi-prosesor baru yang sekarang umum tersedia dan bisa lebih cepat daripada algoritme saat ini.

"Sangat menakjubkan jumlah pekerjaan yang masuk ke beberapa proposal ini," Burr berkata.

"Beberapa dari mereka terlihat fantastis, beberapa dari mereka terlihat seperti mungkin dilakukan oleh seorang anak berusia 13 tahun, dan ada segala sesuatu di antaranya."