Mit bizonyít egy kriptográfiai hash, és mit nem?

Egy kriptográfiai hash függvény tetszőleges hosszúságú bemenetből rögzített hosszúságú értéket készít. Egyetlen bit megváltoztatása teljesen más lenyomatot eredményezhet, ezért a hash kiválóan alkalmas fájlok összehasonlítására, tartalomcímzésre és integritás-ellenőrzésre. A rövid hexadecimális string azonban könnyen nagyobb bizonyító erőt sugall, mint amivel valójában rendelkezik. A hash önmagában nem mondja meg, ki készítette az adatot, mikor készült, vagy hogy a közzétett lenyomat megbízható forrásból származik-e.

A determinisztikusság teszi összehasonlíthatóvá

Ugyanaz a pontos bájtsorozat ugyanazzal az algoritmussal mindig ugyanazt a hash-t adja. Ez lehetővé teszi, hogy egy nagy fájl két példányát a teljes tartalom továbbítása nélkül hasonlítsuk össze. A build rendszer felismeri a változatlan inputot, a cache tartalom alapján címezhet objektumot, a letöltő pedig ellenőrizheti a kapott bájtokat.

A „pontos bájtsorozat” fontos kitétel. Eltérő sortörés, Unicode-normalizálás, whitespace vagy metadata más hash-t készít, még ha az ember ugyanazt a dokumentumot látja is. A rendszernek rögzítenie kell, nyers fájlt, dekódolt szöveget vagy kanonizált struktúrát hash-el.

A lavinahatás nem titkosítás

A jó hash kis bemeneti változásra kiszámíthatatlanul eltérő kimenetet ad. Ez megakadályozza, hogy a lenyomatból egyszerűen lássuk, melyik rész módosult. Ettől a bemenet még nem lesz titkos: a hash nem visszafejtésre tervezett titkosítás, és kis bemeneti tér esetén végigpróbálással megtalálható az eredeti érték.

Egy országkód, rövid telefonszám vagy gyakori e-mail hash-e könnyen visszakereshető szótárból. Személyes adat „anonimizálása” puszta SHA-256-tal ezért rendszerint nem elegendő. Kulcsolt pszeudonimizálás, hozzáférési kontroll és adatvédelmi elemzés szükséges.

Az egyirányúság gyakorlati biztonsági cél

A preimage resistance azt jelenti, hogy adott hash-hez számításilag nehéz olyan bemenetet találni, amely előállítja. A second-preimage resistance azt védi, hogy egy ismert dokumentum mellé ne lehessen könnyen másikat készíteni ugyanazzal a lenyomattal. Ezek nem matematikai lehetetlenségek, hanem a jelenlegi erőforrásokhoz és algoritmushoz kötött állítások.

A kimenet hossza meghatározza a brute-force költség felső korlátját. A biztonsági szintet azonban implementációs hiba, gyenge protokoll vagy későbbi kriptanalízis csökkentheti. Emiatt a rendszernek algoritmus-agilitásra és verziózott hash-reprezentációra is szüksége lehet.

Az ütközés elkerülhetetlen, de nehezen található

Mivel végtelen sok lehetséges bemenetet véges hosszúságú kimenetre képezünk, biztosan léteznek különböző adatok azonos hash-sel. A kriptográfiai követelmény nem az ütközés hiánya, hanem hogy szándékosan rendkívül nehéz legyen ilyen párt találni.

A születésnap-paradoxon miatt egy n bites hash ütközési biztonsága megközelítőleg n/2 bit. Ezért a rövidített hash-eknél gyorsan csökken a tartalék. Nyolc hexadecimális karakter jó lehet emberi diagnosztikai prefixnek, de nem feltétlenül biztonságos globális tartalomazonosítónak.

Az MD5 és SHA-1 már nem általános biztonsági választás

MD5-höz és SHA-1-hez gyakorlati collision támadások ismertek. Egy támadó képes lehet két eltérő dokumentumot úgy előkészíteni, hogy ugyanazt a lenyomatot adják. Digitális aláírás, tanúsítvány vagy támadó által befolyásolható tartalom integritása ezért nem épülhet rájuk.

Legacy checksumként még előfordulhatnak, ha a cél kizárólag véletlen átvitelihiba észlelése, de a címkének ezt pontosan kell jeleznie. Új fejlesztéshez modern, széles körben elemzett algoritmus, például SHA-256 vagy megfelelő SHA-3/BLAKE család választandó a protokoll követelményei szerint.

A letöltési hash csak megbízható csatornával együtt hasznos

Ha a fájlt és a hozzá tartozó SHA-256 értéket ugyanarról a kompromittált szerverről töltjük le, a támadó mindkettőt lecserélheti. A sikeres egyezés ekkor csak azt bizonyítja, hogy a két rossz adat összhangban van. A hash forrásának függetlennek vagy hitelesítettnek kell lennie.

Digitális aláírás, csomagkezelői metadata-lánc vagy más megbízható publikációs csatorna kötheti a lenyomatot a kiadóhoz. A TLS védi az átvitelt, de a hosszú távú provenance és reprodukálhatóság külön kérdés marad.

A hash nem bizonyít szerzőséget

Egy dokumentum hash-ének közzététele bizonyíthatja, hogy később ugyanarról a tartalomról beszélünk, ha a publikáció időpontja és forrása megbízható. Azt azonban bárki kiszámíthatja. A lenyomat birtoklása nem bizonyítja, hogy az illető írta, jóváhagyta vagy titokban tartotta az adatot.

Szerzőséghez vagy jóváhagyáshoz digitális aláírás kell, amely egy privát kulcshoz köti a dokumentum lenyomatát. Ezután is szükséges tudni, kihez tartozott a kulcs, érvényes volt-e az aláíráskor és milyen tartalmat értett a felhasználó a művelet alatt.

A kanonizálás a strukturált adatok kritikus része

Két JSON objektum jelentése lehet azonos eltérő kulcssorrenddel vagy whitespace-szal, miközben nyers bájtjaik különböznek. Ha aláírás vagy cache-kulcs logikai tartalomra épül, a résztvevőknek ugyanazt a kanonikus serializációt kell előállítaniuk.

A kézzel írt „rendezzük a kulcsokat” szabály gyakran nem elég: számformátum, Unicode, escape-ek, duplikált kulcs és hiányzó érték is eltérhet. Szabványos kanonizálás és ismert tesztvektor csökkenti annak esélyét, hogy két helyes implementáció más hash-t kapjon.

A tartalomcímzés erős, de nem teljes adatmodell

Content-addressed storage esetén az objektum címe a tartalom hash-e. Azonos bájtok automatikusan deduplikálhatók, és a cím ellenőrzése észleli a sérülést. Git és több csomagkezelői rendszer is kihasználja ezt az elvet összetett objektumgráfok építésére.

A hash cím nem hordoz emberi nevet, tulajdonost, hozzáférési jogot vagy retention policyt. Ezekhez külön metadata és autoritatív index kell. Egy objektum törlését is nehezítheti, hogy több logikai hivatkozás ugyanahhoz a fizikai tartalomhoz vezet.

A hash összehasonlítása is lehet biztonsági művelet

MAC vagy token ellenőrzésekor a korai eltérésnél megálló string-összehasonlítás futási ideje információt szivárogtathat a helyes prefixről. Kriptográfiai hitelesítő értékhez constant-time összehasonlító függvény szükséges. Egyszerű fájlintegritásnál ez rendszerint nem kritikus, de közös helper használata biztonságosabb.

A kód ne konvertálja fölöslegesen eltérő case-re vagy karakterkódolásra a nyers digestet. A bináris értéket binárisan, a hex formát pedig validált, azonos hosszúságú reprezentációként kezelje. Hosszeltérés és parse-hiba egyaránt egyértelmű elutasítás.

Az algoritmus neve a hash része

Egy csupasz hex string nem mondja meg, MD5, SHA-256 vagy más függvény eredménye. Adatbázisban és protokollban az algoritmust, verziót és szükség esetén paramétereket együtt kell tárolni. Így migráció alatt régi és új lenyomat ellenőrizhető.

A bemeneti előfeldolgozás ugyanilyen fontos metadata. Ha egyik szolgáltatás UTF-8 szöveget, a másik Base64-dekódolt bájtokat hash-el, az algoritmus egyezése sem segít. A szerződés konkrét byte pipeline-t írjon le.

A hash pontos kérdésre ad pontos választ

Egy modern algoritmussal számított, megbízható forrásból származó hash erősen jelzi, hogy két bájtsorozat azonos, és az adat nem változott a lenyomat rögzítése óta. Nem igazolja önmagában a kiadót, az időpontot, a jogosultságot vagy a tartalom igazságát.

A jó rendszer ezért a hash-t nem mágikus pecsétként, hanem egy bizonyítási lánc elemként használja. Meghatározza a pontos bemenetet, megfelelő algoritmust választ, hitelesíti a várt értéket és külön kezeli azokat az állításokat, amelyekhez kulcs, aláírás vagy üzleti ellenőrzés szükséges.