SHA-1の衝突弱点を理解します

StackOverflow https://stackoverflow.com/questions/1147830

  •  18-09-2019
  •  | 
  •  

質問

の様々な情報源によると、SHA-1の衝突を探して攻撃は2 ^ 52の操作に改善されている

<のhref = "http://www.secureworks.com/research/blog/index.php/2009/6/3/sha-1-collision-attacks-now-252/" のrel = "noreferrer" > http://www.secureworks.com/research/blog/index.php/2009/6/3/sha-1-collision-attacks-now-252/ の

私は何を知りたいのは、攻撃を受けていないシステム上でこれらの発見の意味です。意味私は、ランダムなデータをハッシュた場合、衝突の統計的オッズは何ですか?別の方法によると、最近の研究ではブルートフォース誕生日の攻撃は、もともと提案衝突を見つけるの高いチャンスがあることを示しているのでしょうか?

上記のようないくつかのwriteupsは、ブルートフォースを介して、SHA-1の衝突を得ることが2 ^ 80の操作を必要とするであろうと言います。ほとんどのソースは2 ^ 80は、理論数(何のハッシュ関数は、実際にも、そのダイジェスト空間に完全に分散されていないので、私は仮定)であると言います。

だから、基本的なハッシュ分布で発表されたSHA1の衝突弱点のいずれかがありますか?それとも衝突の増加オッズ導かれた数学的な攻撃の結果だけ?

私は最終的にはそれだけでオッズのゲームであることを認識し、そしてあなたの第一及び第二のメッセージが衝突につながる無限小の変化を自分であること。私はまたしても2 ^ 52は本当に大きな数ですが、私はまだ攻撃中のシステムではないため影響を理解したいことを実現します。だから、「それについては心配しないでください」と答えないでください。

役に立ちましたか?

解決

あなたのリンクに発表された結果は、の攻撃の、ランダムな攻撃が希望よりも大きい確率との衝突を発生注意深い、アルゴリズム的に選択された一連のステップです。これは、ハッシュ関数の分布の弱点ではありません。さて、[OK]を、それはではなく、成功するために2 ^ 52程度の可能性の高いランダムな攻撃を行い一種である。

誰があなたのハッシュ出力の衝突を生成しようとしていない場合、この結果はあなたに影響を与えません。

他のヒント

まあ良いハッシュ関数は(記事の状態など)の攻撃の異なる3種類に耐性があります。

実用的な意味で最も重要な抵抗は、第2のプリイメージ耐性です。これは基本的にメッセージM1及びハッシュ(M1)= H1与えられ、M2ようハッシュ(M2)= H1を見つけることは困難であることを意味します。

誰かが効率的にそれを行うための方法を発見した場合は、

、それは悪いだろう。メッセージM1が私たちのために固定されているので、原像攻撃は、誕生日のパラドックスに敏感ではありません。

これは、プレ画像または第二のプリイメージ攻撃、攻撃を見つける単に衝突はありません。 あなたの質問に答えるために、ノーブルートフォース攻撃は、衝突を見つけるの高いチャンスがありません。これが意味することは、研究者の方法と組み合わせるナイーブ強引な方法は、2 ^ 52の後に衝突を見つけることにつながるということです。標準のブルートフォース攻撃はまだ2 ^ 80をとります。

重要な問題は、「攻撃者は、M1とM2の両方のメッセージを変更することができます」?です。その場合、攻撃者はM1を見つける必要がある、などというハッシュ(M1)=ハッシュ(㎡)M2。これは、誕生日の攻撃であると複雑さを大幅に軽減---平方根になります。ハッシュ出力は128ビット(MD5)の場合、複雑性はよく、現在のコンピューティングパワーを持つ手の届くところに、2 ^ 64です。

与えられた通常の例では、売り手が「私は千万ドルのためにそれを販売する」メッセージを入力するために彼の秘書を求めていることです。陰謀の秘書は2つの文書「私は10万ドルのためにそれを販売する」と言うと、他のxが10よりはるかに小さい、「私はそれを百万xのドルを売るだろう」と言う1つを作成し、大文字、スペースを追加することにより、両方のメッセージを修正単語など、ハッシュ(M1)=ハッシュ(M2)まで、Xを修正します。さて、秘書は販売者に正しいメッセージm1を示しており、彼はそれがハッシュ時間で、その結果、自分の秘密鍵を使って署名します。秘書は、メッセージを切り替えて(H、M2)を送出します。唯一の売り手が自分の秘密鍵へのアクセス権を持っているので、彼は否定し、彼はメッセージに署名していないと言うことはできません。

は、160ビットを出力SHA1について、誕生日攻撃は2 ^ 80の複雑さを低減します。これは、30年以上のために安全でなければなりません。新政府の規制は、4Gの3GPP仕様は、SHA256を要求し始めています。

しかし、あなたのユースケースでは、攻撃者は、メッセージ(プレイメージまたは第二プレイメージのシナリオ)の両方を変更できない場合は、SHA1のための複雑さが^ 160 2です。非ブルートフォース攻撃が発見されない限り、永遠に安全でなければなりません。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top