Tientallen hobbymatige en professionele cryptografen hebben zich opgegeven voor Amerika's eerste open competitie voor het maken van een nieuw, veilig algoritme voor het genereren van hashes, de digitale vingerafdrukken die wereldwijd door tal van security functies gebruikt worden. Met de wedstrijd, georganiseerd door de National Institute of Standards and Technology (NIST), wordt gezocht naar goede vervangers van de huidige algoritmen, welke soms zwakker zijn dan in eerste instantie werd gedacht. Het instituut verwachtte tenminste 40 inzendingen te krijgen voor de deadline van afgelopen vrijdag.

Algoritmen
Hash algoritmen vormen een erg belangrijke beveiliging binnen de ICT. Ze kunnen een groot bestand, zoals een e-mail bericht, verkleinen tot een simpel nummer dat gebruikt wordt om de oorspronkelijke data te identificeren. Het werkt hetzelfde als vingerafdrukken die men gebruikt voor het opsporen van misdadigers. Een goede hash functie geeft een compleet ander resultaat wanneer het originele bestand ook maar enigszins is aangepast. Op dit moment zijn er twee standaard algoritmen in gebruik, namelijk MD4 en MD5. Deze zijn de basis voor de huidige overheidsgecertificeerde algoritmen, ook wel bekend als de Secure Hashing Algoritmen (SHA). Hieronder vallen: SHA-0, SHA-1 en SHA-2, waarvan laatstgenoemde eigenlijk bestaat uit vier mogelijkheden, afhankelijk van het gewenste aantal bits in de uiteindelijke hash. Toch hebben onderzoekers manieren gevonden om MD4 en MD5 te kraken door "collisions" te veroorzaken, een manier om twee bestanden met dezelfde hash te genereren. Door een botsing af te dwingen, kan een aanvaller bijvoorbeeld een aangepaste versie van een contract maken die, volgens de hash waarde, hetzelfde lijkt als het origineel getekende document.

Praktijk
In de praktijk is SHA-1 nog steeds niet te kraken, de tijd om een collision te vinden is theoretisch gezien erg gekrompen: cryptografen dachten in eerste instantie dat een computer die een aanvalsberekening van 1 miljoen keer per seconden zou doen, 38 biljoen jaar nodig zou om een SHA-1 collison te vinden. In 2005 vonden onderzoekers een manier om elke 19 miljoen jaar een collision te produceren. Maar ondanks dat er nog geen relevante aanvallen zijn gevonden tegen SHA-2, zit het NIST niet stil. Vorig jaar riep de organisatie mensen op om een nieuw hash algoritme te bedenken, SHA-3. Afgelopen vrijdag, de deadline voor de inzendingen, kreeg de instelling bijna 40 voorstellen binnen, waarvan de meeste van professionele cryptografen. Het NIST beoordeelt de inzendingen aan de hand van de wiskundige juistheid, willekeur van de hash waarden, de efficiëntie bij het berekenen van de hash en de flexibiliteit van het algoritme.

Encryptie feestje
“Zie dit als een feest waar we encrypties slopen”, zegt Bruce Schneier. “We zullen proberen elkaars algoritmen te mollen. Dit wordt leuk voor cryptografen”, zegt de beveiligingsgoeroe. Schneier en zeven andere cryptografen uit het bedrijfsleven en academies, hebben een voorstel ingezonden voor hun "Skein" familie van hash functies. Cryptograaf Ron Rivest, ook wel bekend als de 'R' in RSA encryptie, en een team van cryptografen hebben ook een algoritme gemaakt dat ze als de MD6 hash omschrijven.

NIST gaat elke inzending controleren om zeker te weten dat die voldoen aan de door de overheid gestelde vereisten. De lijst met inzendingen zal tegen het einde van het jaar online verschijnen. Het NIST verwacht dat SHA-3 de komende tien jaar zeker nog niet gebruikt zal worden.