Que cracks! jajaj

Un saludo!

Supongo que habrá muchos más, por lo que he leído casi todo el mundo se basa en el estándar PKCS #5 que ha mencionado Daniel.

Entiendo tu razonamiento, pero se basa en que la función hash no distribuya uniformemente sus resultados a lo largo de su espacio de posibles salidas, esto es, que no sea inyectiva (lo que se denomina una “función hash perfecta”). Inyectiva quiere decir que aunque su entrada sea del mismo tamaño que su salida (que es el caso que tenemos a partir de la segunda iteración), dará un valor de salida diferente para cada valor de entrada diferente.

Por supuesto no contamos con el caso en que la entrada es más pequeña que la salida (por ejemplo, una password de 2 caracteres), porque en ese caso claramente la función hash no tiene nada que hacer ya que el espacio de entradas nunca podrá cubrir todo el espacio de salidas posible.

Aunque obviamente no todas las funciones hash son inyectivas (hay funciones hash para dar y tomar), algunas sí. Y desde luego las criptográficas tienen como una de sus misiones “aspirar” a serlo (aunque teóricamente deberían serlo todas si fuesen, eso, “perfectas”).

¡Ajá! dirás, ¡así que reconoces que aunque en teoría lo sean, en la práctica no son inyectivas y que por tanto tengo razón! pues no :-). En la práctica, la “no inyectividad” de estas funciones es absolutamente mínima (y despreciable), y la pérdida de espacio de salidas que provoquemos iterando la función 1000 veces (que, repito, es lo que recomienda RSA para crear claves de cifrado a partir de passwords textuales) compensa más que sobradamente la diferencia en complejidad computacional de aplicar la función esa cantidad de veces.

Un saludo.

Por otro lado, la única forma de que no pasara lo que describo sería haciendo que la funcion hash actuara de forma biyectiva si se restringe a su conjunto imagen, es decir, si es un automorfismo sobre su conjunto imagen. El hecho de que sea un automorfismo sobre su conjunto imagen, puede, a su vez, reducir aun más la dificultad de encontrar contraimágenes y reducir consecuentemente la seguridad de la función hash, por lo que la composición iterada no es más segura. Sólo es más segura desde el punto de vista intelectual, pues la simplificación de los cálculos puede resultar muy compleja… aunque solo se tiene que hacer una sola vez, y funcionará para siempre. Que no se haya simplificado nunca la composición de funciones hash no significa que sea imposible.. y una vez hecha no se tiene que volver a hacer nunca más para ningún otro ataque.

Quisiera aclarar que la teoría de que la iteración en el hashing reduzca el nivel de seguridad es incorrecta, aunque sí es cierto que causa cierta discusión en muchos foros. Y me explico:

1. Una función de hash da como resultado una determinada cantidad fija de bytes, por ejemplo, 64. Y los resultados de esa función de hash se supone que están uniformemente distribuidos entre los posibles valores de esos 64 bytes.

2. El hecho de que el tamaño del resultado sea “x”, significa que tenemos unas probabilidades “y” de que tengamos una colisión entre dos entradas a la función de hash. Y ese “y” depende directamente de “x”: a más tamaño, menos probabilidades (siempre que la función hash esté bien hecha y distribuya uniformemente sus resultados, claro).

3. Si aplicamos la función hash una segunda vez, el resultado seguirán siendo “x” bytes, exactamente el mismo tamaño, y por tanto la probabilidad de colisión seguirá siendo “y”.

Esto significa que “a igual número de iteraciones hash”, la probabilidad de colisión es la misma se aplique la función hash 1 ó 100 veces.

Obviamente, si yo tengo que romper una clave que se iteró 100 veces, y para considerar mis posibilidades de encontrar una colisión considero las posibilidades que tengo de conseguir el mismo hash después de iterar 1, 2, 3, 4, … hasta 100 veces, entonces sí tengo una probabilidad muchísimo mayor, claro está. Porque para una entrada no estoy considerando una salida, sino 100 (una para cada número de iteraciones).

Pero es que esto último no vale. Porque para “romper” una clave, necesito una entrada que me dé exactamente el mismo resultado hash después de que la aplicación lo haya procesado para compararlo con la clave almacenada. Y si esta aplicación itera la función de hash 100 veces, sólo me valen las colisiones a exactamente 100 iteraciones, no a 1, ni 2, ni 3… ni 99.

De modo que no, iterar la función hash no disminuye la seguridad ni la aumenta si sólo consideramos las probabilidades de colisión, pero aumenta la seguridad de la aplicación porque aplicar una función hash es computacionalmente complejo, y esto hace que cualquier ataque por fuerza bruta requiera muchísimo (realmente muchísimo) más tiempo de computación para romper una clave iterada 100 veces que una clave iterada sólo una vez.

Como fundamento de lo que digo, os recomiendo que leáis el estándar PKCS #5 publicado por RSA sobre Password-Based Encryption, en el que, en el apartado donde habla de cómo generar claves de cifrado desde passwords textuales (lo que se hace siempre mediante la aplicación de un hash), explica por qué se aplica una iteración de la función Hash (apartado 4.2 de la versión 2.1 del estándar).

Me refería a que si se aplica reiteradamente una función hash sobre un dato esto no tiene porqué traducirse en tiempos muchos más altos para realizar el cómputo, pues conociendo el código y los fundamentos matemáticos de ésta, se puede “simplificar” el código para que con muchas menos instrucciones realice un cálculo equivalente a la composición reiterada de la función (si el numero de interaciones es conocido y fijo, en todo caso, incluso siendo variable se pueden hacer diversas simplificaciones que ayuden en la reducción de tiempos).

Efectivamente, no aumenta la seguridad, porque el resultado ha de ser las 1000 veces el mismo, sólo aumenta el tiempo de respuesta. Y ese tiempo, que para una petición es prácticamente inapreciable, puede ser determinante para que un bot que esté “probando suerte” tarde meses “de más” en dar con la contraseña. Así lo he entendido yo, vamos…

¡Ah! Tu último comentario no lo entiendo, ¿a qué te refieres con lo de las 200 veces concatenadas?