Группа специалистов в области криптографии из академических кругов и компаний отрасли выступила организаторами международного конкурса Password Hashing Competition, призванного приблизить разработку нового, более устойчивого к взлому алгоритма хэширования паролей.
Организаторы создали сайт конкурса, на котором участники могут размещать свои работы. Срок завершения подачи проектов — 31 января 2014 года. На сайте размещены также технические рекомендации и разъяснение принципов оценки работ. Призы победителям не предусматриваются. Основной организацией, выпускающей стандарты шифрования и хэширования, является американский Национальный институт стандартов и технологий (NIST).
Алгоритмы хэширования (дословно — перемешивания) преобразуют текстовые пароли в символьно-цифровые последовательности, что затрудняет для злоумышленников доступ в базы данных, поддерживающие сайты. В числе популярных стандартов таких алгоритмов — SHA, или Secure Hash Algorithm, поддерживаемый NIST. Он был разработан Агентством национальной безопасности США.
SHA представляет собой многоцелевой стандарт, неоптимальный для шифрования паролей к веб-сайтам. Чем быстрее выполняется хэширование данных, тем проще злоумышленникам, применяя метод «грубой силы» восстановления паролей, используя мощные компьютеры, подобрать пароли путем их перебора. Если процесс перебора требует продолжительного времени, цель становится непрактичной с точки зрения хакера.
Организаторы конкурса нацелены на разработку стандарта, предполагающего продолжительный процесс хэширования, который, однако, не приводил бы к слишком долгому ожиданию авторизации для посетителей сайтов, как пояснил один из судей конкурса Жан-Филипп Ома, специалист по криптографии, работающий в швейцарской компании Kudelski Security.
«С точки зрения защиты чем медленнее, тем лучше, — пояснил Ома. — Но нужно учитывать вопросы удобства пользования, а здесь важна скорость. Требуется найти компромисс между скоростью и надежностью».
NIST занимается мониторингом конкурса, кроме того, один из его сотрудников, Мелтем Сонмез Туран, входит в судейскую коллегию. Организации по стандартизации смогут извлечь лучшее из технологий-победителей и включить их в будущие стандарты.
Несмотря на то что стандарт SHA используется несколько десятилетий, хэширование паролей для доступа на веб-сайты — относительно новая тенденция. Стандарты же должны быть ориентированы на приложения, которые нужны сейчас. Международным организациям по стандартизации, таким как International Organization for Standardization и Internet Engineering Task Force, еще предстоит вплотную заняться этими вопросами.
Пока же недостаточный выбор технологий шифрования приводит к частому взлому паролей, как это, например, случилось с LinkedIn в прошлом году. Были украдены и вскрыты миллионы хэшированных паролей, которые затем были опубликованы на форуме российских хакеров.
Организаторы конкурса рассчитывают получить эффективные предложения для веб-сайтов и мобильных устройств, хотя не предполагают, что какая-либо из технологий будет напрямую использована в качестве стандарта, подчеркнул Ома. В большей степени и этот конкурс, и аналогичные мероприятия, которые предполагается проводить в ближайшее десятилетие, направлены на то, чтобы привлечь внимание разработчиков и пользователей к необходимости совершенствовать технологии хэширования паролей.
Разработчики сейчас фактически не имеют выбора, поскольку достаточно эффективных технологий просто нет. «Эту ситуацию мы и пытаемся исправить», — сказал Ома.
В числе судей конкурса Мэттью Грин, специалист Университета им. Джона Хопкинса; Марш Рей, сотрудник Microsoft; Дженс Штубе, работающий в рамках проекта Hashcat Project; Питер Гутман из Оклендского университета.