Hash

是否存在對完整 SHA-1 的有效攻擊?

  • September 9, 2014

Google今天宣布他們正在淘汰 SHA-1。對我來說很好。但這讓我意識到我沒有跟上對 SHA-1 的研究。維基百科頁面只說史蒂文斯的攻擊是最有效的,但它也在減少輪次的 SHA-1 上——而不是全輪次的 SHA-1。那麼是否沒有對 SHA-1 的理論上的攻擊,或者我上面提到的那個足以被認為是易受攻擊的?還有其他人嗎?

目前估計 SHA-1 碰撞的成本為 $ 2^{61} $ SHA-1 呼叫。要了解它有多少(或多少),我們可以看看比特幣挖礦。現在(2014 年 9 月)整個採礦網路每秒計算200,000,000 次 SHA-256 的千兆雙雜湊,或 $ 2^{61} $ 三秒內散列。

Stevens 的攻擊是針對完整的 SHA-1,而不是簡化的回合變體。差異僅出現在部分回合中,但攻擊本身擴展到完整算法。但是,您連結的幻燈片中描述為“完全有效”的攻擊(全文的pdf)仍未用於展示實際的碰撞,因此它確實是理論上的。

此外,即使沒有攻擊,在可能發生碰撞攻擊的情況下,也可能是時候擺脫 SHA-1 了。對於非常敬業的攻擊者來說,80 位的蠻力可能是可行的,無論是現在還是在不久的將來。

有關的:

引用自:https://crypto.stackexchange.com/questions/19022