Secure Hash Algorithm: differenze tra le versioni

Con il termine '''SHA''' ([[acronimo]] dell'[[Lingua inglese|inglese]] '''Secure Hash Algorithm''') si indica una famiglia di cinque diverse funzioni [[crittografiaFunzioni crittografiche di hash|funzioni crittografiche]] di ''[[hash'']]'' sviluppate a partire dal [[1993]] dalla ''[[National Security Agency]]'' (NSA) e pubblicatepubblicato dal [[National Institute of Standards and Technology|NIST]] come [[Federal Information Processing Standard|standard federale]] dal governo degli [[Stati Uniti d'America|USA]]. La([http://csrc.nist.gov/publications/fips/fips180-4/fips-180-4.pdf siglaFIPS SHAPUB sta per '' '''Secure Hash Algorithm''' ''180-4]).

Come ogni [[algoritmo]] di ''hash'', l'SHA produce un ''message digest'', o "impronta del [[messaggio]]", di lunghezza fissa partendo da un messaggio di lunghezza variabile. La sicurezza di un [[algoritmo]] di ''hash'' risiede nel fatto che la funzione non sia reversibileinvertibile (non sia cioè possibile risalire al messaggio originale conoscendo solo questo dato) e che non deve essere mai possibile che si riescano a creare ''intenzionalmente'' due messaggi diversi con lo stesso ''digest''. Gli algoritmi della famiglia sono denominati '''SHA-1''', '''SHA-224''', '''SHA-256''', '''SHA-384''' e '''SHA-512''': le ultime 4 varianti sono spesso indicate genericamente come '''SHA-2''', per distinguerle dal primo. Il primo produce un ''digest'' del messaggio di soli 160 [[bit]], mentre gli altri producono ''digest'' di lunghezza in bit pari al numero indicato nella loro sigla (SHA-256 produce un ''digest'' di 256 bit). L'SHA-1 è il più diffuso algoritmo della famiglia SHA ed è utilizzato in numerose applicazioni e protocolli nonostante sia ormai insicuro e verrà presto sostituito dagli altri, più moderni ed efficienti.

La sicurezza di SHA-1 è stata in parteappunto compromessa dai [[crittoanalisi|crittoanalisti]]. <ref>[httphttps://www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html Crittoanalisi dell'SHA-1 (Schneier)]</ref> Sebbene non siano ancora noti attacchi alle varianti SHA-2, esse hanno un algoritmo simile a quello di SHA-1 per cui sono in atto sforzi per sviluppare algoritmi di ''hashing'' alternativi e migliorati.<ref>http[https://www.schneier.com/blog/archives/2005/11/nist_hash_works_4.html Schneier on Security: NIST Hash Workshop Liveblogging (5)<!-- Titolo generato automaticamente -->]</ref><ref>[http://www.heise-security.co.uk/articles/75686/2 The H: Security news and Open source developments<!-- Titolo generato automaticamente -->]</ref>

Un concorso aperto per la realizzazione di una nuova funzione '''SHA-3''' è stato formalmentevenne annunciato nel ''Federal Register'' il 2 novembre 2007.<ref name=autogenerato1>[http://csrc.nist.gov/groups/ST/hash/documents/FR_Notice_Nov07.pdf Document<!-- Titolo generato automaticamente -->]</ref> "Ildal NIST stae avviandoattraverso ununa concorso[[Competizione NIST per lo sviluppo di uno o più algoritmi di ''hashing'' aggiuntivi attraverso unafunzioni hash|competizione pubblica]], comesimile a quella adottata per il processo di sviluppo dell'[[Advanced Encryption Standard|AES]].",<ref>[http://www.csrc.nist.gov/pki/HashWorkshop/index.html Bounce to index.html<!-- Titolo generato automaticamente -->] {{webarchive|url=https://web.archive.org/web/20080205143613/http://www.csrc.nist.gov/pki/HashWorkshop/index.html |data=5 febbraio 2008 }}</ref> Leha iscrizioniportato siin sonodata concluse2 ilottobre 312012 ottobread 2008annunciare ecome lavincitore proclamazionel'algoritmo del[[Keccak]]. vincitoreOpera di un team di analisti italiani e labelgi, pubblicazioneil delKeccak<ref>[http://keccak.noekeon.org/ nuovoThe standardKeccak sonosponge previstefunction perfamily<!-- ilTitolo 2012generato automaticamente -->]</ref> sembra dunque destinato a venire gradualmente incluso e adottato nelle soluzioni di [[sicurezza informatica]] più variegate.

''Passo 2'' (Aggiunta lunghezza): Alla sequenza di bitsbit (messaggio+imbottitura) creata durante il passo 1 viene aggiunto un intero unsigned di 64bits64bit contenente la lunghezza del messaggio originale. Alla fine di questi due primi passi otteniamo una sequenza di bitsbit che è un multiplo di 512.

''Passo 3'' (Inizializzazione del buffer MD): Un buffer di 160bits160bit suddiviso in 5 registri da 32bits32bit ciascuno viene creato per la memorizzazione di alcuni passaggi intermedi. I 5 registri verranno convenzionalmente indicati con (A,B,C,D,E) ed inizializzati con i seguenti valori esadecimali:

Il fulcro dell'algoritmo SHA-1 è chiamato ''compression function'' ed è formato da 4 cicli di 20 passi cadauno. I cicli hanno una struttura molto simile tra di loro se non per il fatto che utilizzano una differente funzione logica primitiva. Ogni blocco viene preso come parametro di input da tutti e 4 i cicli insieme ad una costante K e i valori dei 5 registri. Alla fine della computazione otterremo dei nuovi valori per A,B,C,D,E che useremo per la computazione del blocco successivo sino ad arrivare al blocco finale LF.

== L'insieme SHA-2 ==

[[ImmagineFile:SHA-2.svg|thumbnail|right|200pxthumb|Una iterazione della funzione di compressione negli algoritmi della famiglia SHA-2.]]

Nel [[2001]] il NIST pubblicò quattro funzioni di ''hash'' addizionali facenti parte della famiglia SHA, ognuna con un ''digest'' più lungo di quello originale, collettivamente denominate '''SHA-2''' (anche se questo termine non è mai stato ufficialmente standardizzato). Queste varianti sono note, come detto, con la lunghezza in bit del ''digest'' generato a seguire la sigla ufficiale dell<nowiki>'</nowiki>''hash'': '''SHA-224''', '''SHA-256''', ''''SHA-384''' e '''SHA-512''', con, rispettivamente, ''hash'' di 224, 256, 384 e 512 bit. Da notare che gli ultimi tre algoritmi furono ufficializzati come standard nel [[2002]] mentre l'SHA-224 fu introdotto nel febbraio del [[2004]]: quest'ultimo presenta un ''hash'' di lunghezza identica a quella di 2 chiavi del [[Triple DES]].

Tutte queste varianti sono brevettate dal governo americanostatunitense, ma rilasciatepubblicate con licenza libera.<ref>{{citeCita journalpubblicazione |titletitolo=Licensing Declaration for US patent 6829355.|url=https://datatracker.ietf.org/ipr/858/|accessdateaccesso=2008-02-17 febbraio 2008}}</ref>.

Gli algoritmi SHA-256 e SHA-512 lavorano, rispettivamente, con [[word]] di 32 e 64 bit rispettivamente: utilizzano un numero differente di rotazioni e di costanti addizionali, ma la loro struttura è sostanzialmente identica. Gli algoritmi SHA-224 e SHA-384 sono semplicemente versioni troncate dei precedenti due, con ''hash'' calcolati con differenti valori iniziali.

Gli algoritmi SHA-2 non hanno ricevuto, a differenza dell'SHA-1, molta attenzione dalla comunità dei crittoanalisti per cui la loro sicurezza in campo crittografico non è stata del tutto provata. Gilbert e Handschuh ([[2003]]) hanno studiato queste nuove varianti e non hanno trovato vulnerabilità <ref>{{citeCita journalpubblicazione |titletitolo=Security analysis of SHA-256 and sisters |authorautore=Henri Gilbert |coauthorscoautori=Helena Handschuh |journalrivista=Lecture notes in computer science |publishereditore=Springer, Berlin |issn=0302-9743 |url=http://cat.inist.fr/?aModele=afficheN&cpsidt=15735289 |formataccesso=fee30 requiredgennaio 2008 |accessdateurlarchivio=2008-01-30https://web.archive.org/web/20111018010557/http://cat.inist.fr/?aModele=afficheN&cpsidt=15735289 |dataarchivio=18 ottobre 2011 |urlmorto=sì }}</ref>.

== SHA-3 (in sviluppo)==

== Comparazione delle funzioni SHA ==

! colspan="2" | Algoritmo e <br />variante

| colspan="2" | '''SHA-0''' || 160 || 160 || 512 || 2⁶⁴ &minus;− 1 || 32 || 80 || +,and,or,xor, rotl || Sì

| rowspan="2" | '''SHA-5122''' || ''SHA-256/384224'' || 512256/384224 || 512256 || 1024512 || 2¹²⁸⁶⁴ &minus;− 1 || 6432 || 8064 || +,and,or,xor,shr, rotr || Nessuna

== Esempi e pseudocodice ==

=== Hash di esempio ===

SHA1("Cantami o diva del pelide Achille l'ira funesta")

Anche una minima variazione nel messaggio genera, ineluttabilmente, un ''hash'' completamente differente a causa di una [[reazione a catena]] nota come ''effetto valanga''. Ad esempio, sostituendo <code>cantamiCantami</code> con <code>contamiContami</code> otteniamo:

SHA1("C'''o'''ntami o diva del pelide Achille l'ira funesta")

Il ''digest'' corrispondente alla stringa nullavuota è:

=== Pseudocodice dell'di SHA-1 ===

w&#91;[i&#93;] = (w&#91;[i-3&#93;] '''xor''' w&#91;[i-8&#93;] '''xor''' w&#91;[i-14&#93;] '''xor''' w&#91;[i-16&#93;]) '''leftrotate''' 1

h1 = h1 + b

=== Pseudocodice dell'di SHA-256 (una variante dell'di SHA-2) ===

<span style="color:green;">(first 32 bits of the <em>fractional parts</em> of the square roots of the first 8 primes 2..19):</span>

<span style="color:green;">(first 32 bits of the <em>''fractional parts</em>'' of the cube roots of the first 64 primes 2..311):</span>

h1 := h1 + b

h6 := h6 + g

* le quantità delle rotazioni (''rotate'') e degli spostamenti (''shift'') sono differenti.

== Note ==

==Voci correlateBibliografia ==

== Collegamenti esterni ==

=== Siti Internet per il calcolo degli hash ===

* [http://www.hashemall.com Hash'em all!] &mdash;— Hashing online di testo e files con svariati algoritmi

=== Standard: SHA-0, SHA-1, SHA-2, SHA-3... ===

* [https://web.archive.org/web/20070929104512/http://www.eff.org/Privacy/Digital_signature/?f=fips_sha_shs.standard.txt Specifications for a Secure Hash Standard (SHS)] &ndash;– Draft for proposed SHS standard (SHA-0)

* [https://web.archive.org/web/20070929104954/http://www.eff.org/Privacy/Digital_signature/?f=fips_sha_shs.info.txt Secure Hash Standard (SHS)] &ndash;– Proposed SHS standard (SHA-0)

* [https://web.archive.org/web/20070113064108/http://csrc.nist.gov/CryptoToolkit/tkhash.html CSRC Cryptographic Toolkit] &ndash;– Official [[National Institute of Standards and Technology|NIST]] site for the Secure Hash Standard

** [http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf FIPS 180-2: Secure Hash Standard (SHS)] {{Webarchive|url=https://web.archive.org/web/20120312101511/http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf |date=12 marzo 2012 }} ([[Portable Document Format|PDF]], 236 kB) &ndash;– Current version of the Secure Hash Standard (SHA-1, SHA-224, SHA-256, SHA-384, and SHA-512), 1 August 2002, amended 25 February 2004

** [httphttps://wwwweb.archive.org/web/20110625054822/http://csrc.nist.gov/groups/ST/hashtoolkit/indexsecure_hashing.html NIST Cryptographicsecure Hash Projecthashing] SHA-3Pagina competitionrelativa agli algoritmi di hashing del NIST

=== Crittoanalisi ===

* [{{cita web | 1 = http://news.zdnet.com/2100-1009_22-5598536.html | 2 = Intervista con Yiqun Lisa Yin sull'attacco all'SHA-1] | accesso = 30 gennaio 2008 | urlarchivio = https://web.archive.org/web/20071216153828/http://news.zdnet.com/2100-1009_22-5598536.html | dataarchivio = 16 dicembre 2007 | urlmorto = sì }}

* [{{cita web | 1 = http://cm.bell-labs.com/who/akl/hash.pdf | 2 = Lenstra's Summary of impact of the February 2005 cryptanalytic results] | accesso = 30 gennaio 2008 | urlarchivio = https://web.archive.org/web/20080228075552/http://cm.bell-labs.com/who/akl/hash.pdf | dataarchivio = 28 febbraio 2008 | urlmorto = sì }}

=== Implementazioni ===

* [httphttps://web.archive.org/web/20140414075014/https://www.openssl.org/ The OpenSSL Project] &ndash;– La diffusa libreria [[OpenSSL]] include [[free software|software libero]] ed [[open source]] con implementazione dell'SHA-1, SHA-224, SHA-256, SHA-384 ed SHA-512

* [httphttps://www.cryptopp.com/ Crypto++] Crypto++, libreria libera in C++ con schemi crittografici

* [httphttps://www.bouncycastle.org/ Bouncy Castle] La libreria Bouncy Castle è una libreria libera in Java e C# che contiene implementazioni dell'SHA-1, SHA-224, SHA-256, SHA-384 ed SHA-512, e di altri algoritmi di hash.

=== Tutorial e codici d'esempio ===

* [https://web.archive.org/web/20080118135855/http://fp.gladman.plus.com/cryptography_technology/sha/index.htm Implementazione in C dell'SHA] di Brian Gladman

=== Vettori di test ===