来自法国国家信息学与自动化研究所(INRIA)和南洋理工大学(新加坡)的研究人员 改善的 SHA-1 算法,这大大简化了使用相同 SHA-1 哈希值创建两个不同文档的过程。 该方法的本质是将SHA-1中的全碰撞选择操作减少为 ,其中当存在某些前缀时就会发生冲突,无论集合中的其余数据如何。 换句话说,您可以计算两个预定义的前缀,如果您将一个前缀附加到一个文档,将另一个附加到第二个文档,则这些文件生成的 SHA-1 哈希值将相同。
这种类型的攻击仍然需要大量的计算,并且前缀的选择仍然比通常的碰撞选择复杂,但结果的实际效率明显更高。 到目前为止,在 SHA-1 中查找冲突前缀的最快方法需要 277.1 次运算,而新方法将计算次数减少到 266.9 到 269.4 次。 在这种计算水平下,一次攻击的估计成本不到十万美元,这完全在情报机构和大公司的能力范围内。 相比之下,搜索常规碰撞大约需要 264.7 次操作。
В Google 能够使用相同的 SHA-1 哈希生成不同的 PDF 文件 这是一种技巧,涉及将两个文档合并为一个文件,切换可见图层并将图层选择标记移动到发生冲突的区域。 在类似的资源成本下(Google 在 1 个 GPU 的集群上花费了一年的计算时间来找到第一个 SHA-110 碰撞),新方法允许您实现两个任意数据集的 SHA-1 匹配。 在实际应用中,您可以准备提及不同域但具有相同 SHA-1 哈希值的 TLS 证书。 此功能允许不道德的证书颁发机构创建数字签名证书,该证书可用于为任意域授权虚构证书。 该问题还可用于破坏依赖于冲突避免的协议,例如 TLS、SSH 和 IPsec。
所提出的搜索冲突前缀的策略涉及将计算分为两个阶段。 第一阶段通过将随机链变量嵌入到预定义的目标差异集中来搜索处于碰撞边缘的块。 在第二阶段,在单个块的级别上,使用传统的碰撞选择攻击方法将所得的差异链与导致碰撞的状态对进行比较。
尽管理论上 SHA-1 攻击的可能性早在 2005 年就已被证明,但实际上第一次碰撞是 2017年,SHA-1仍在使用,并被一些标准和技术(TLS 1.2、Git等)覆盖。 所做工作的主要目的是为立即停止使用 SHA-1(特别是在证书和数字签名方面)提供另一个令人信服的论据。
另外,还可以注意到 分组密码的密码分析 ,由美国 NSA 制定并于 2018 年批准为标准 .
研究人员能够开发出一种基于两对已知的明文和密文恢复私钥的方法。 由于计算资源有限,选择密钥需要几个小时到几天的时间。 攻击的理论成功率估计为 0.25,现有原型的实际成功率为 0.025。
来源: opennet.ru