สถานะของการวิจัยในการโจมตีการปะทะกันของ SHA-1

การรักษาความปลอดภัย SHA-1 ได้มีการพูดคุยกันตั้งแต่อัลกอริทึมสำหรับการค้นหาการชนถูกเผยแพร่ครั้งแรกที่ CRYPTO 2004 และได้รับการปรับปรุงในภายหลัง

Wikipedia แสดงรายการอ้างอิงสองสามฉบับ แต่ดูเหมือนว่างานวิจัยล่าสุดที่ตีพิมพ์ (และถอนภายหลัง) ในหัวข้อนี้คือในปี 2009 (Cameron McDonald, Philip Hawkes และ Josef Pieprzyk "เส้นทางที่แตกต่างสำหรับ SHA-1 ที่มีความซับซ้อน O (2 ^ 52)" )

ตั้งแต่นั้นมามีความคืบหน้าสำคัญในการลดความพยายามในการโจมตีการชนกันของข้อมูลบน SHA-1 หรือไม่?

ลิงค์ไปยังการวิจัยเฉพาะพร้อมกับสรุปสั้น ๆ จะได้รับการชื่นชม

cr.crypto-security hash-function cryptographic-attack

— โยฮันเนสรูดอล์ฟ
แหล่งที่มา

คุณอาจต้องการตรวจสอบRFC6194 (มีนาคม 2011)

— netvope

ฉันรู้ว่ามันเก่า แต่ถ้าคุณยังสนใจ: eprint.iacr.org/2012/440

— mikeazo

ฉันรู้ว่านี้เป็นรุ่นเก่า แต่ถ้าคุณมีความสนใจยังคงคุณอาจต้องการที่จะดูที่sites.google.com/site/itstheshappening

— Boson

SHA-1 ถูกทำลายโดยสตีเว่น, et al พวกเขาแสดงให้เห็นว่าการชนใน SHA-1 นั้นเป็นไปได้จริง พวกเขาให้อินสแตนซ์แรกของการชนกันของ SHA-1

เป็นการโจมตีการชนกันของคำนำหน้าที่เหมือนกันซึ่งทำให้ผู้โจมตีสามารถปลอมแปลงเอกสาร PDF สองชุดที่มีค่าแฮช SHA-1 เหมือนกัน คือพวกเขาขยายคำนำหน้ารับ $p$ กับสองแตกต่างกันใกล้ชนคู่บล็อกสำหรับการใด ๆ ต่อท้าย $s$ ที่ collides

S H A - 1 (พี ‖ {ม.}_{0} ‖ {ม.}_{1} ‖ s) = S H A - 1 (พี ‖ {ม.}_{0}^{'} ‖ {ม.}_{1}^{'} ‖ s)

$\operatorname{SHA-1}(p \mathbin\Vert m_0 \mathbin\Vert m_1 \mathbin\Vert s) = \operatorname{SHA-1}(p \mathbin\Vert m'_0 \mathbin\Vert m'_1 \mathbin\Vert s)$ สำหรับการใด ๆ ต่อท้าย

s

$s$ ที่

(m_{0}, m_{1}) \neq (m_{0}^{'}, m_{1}^{'})

$(m_0, m_1) \neq (m'_0, m'_1)$

ข้อกำหนดการคำนวณมีค่าประมาณ $2^{63.1}$

บล็อกแรกใกล้บล็อกแรกพบหลังจากใช้เวลาประมาณ 3583 ปีแกนที่ผลิต 180 711 โซลูชันบางส่วนจนถึงขั้นตอนที่ 61 จากนั้นคำนวณหาบล็อกใกล้กับบล็อกที่สอง ต้องใช้เวลาเพิ่มอีก 2987 ปีและ 148 975 โซลูชั่นบางส่วน ¹

— kelalaka
แหล่งที่มา