是否存在對完整 SHA-1 的有效攻擊？

Google今天宣布他們正在淘汰 SHA-1。對我來說很好。但這讓我意識到我沒有跟上對 SHA-1 的研究。維基百科頁面只說史蒂文斯的攻擊是最有效的，但它也在減少輪次的 SHA-1 上——而不是全輪次的 SHA-1。那麼是否沒有對 SHA-1 的理論上的攻擊，或者我上面提到的那個足以被認為是易受攻擊的？還有其他人嗎？

目前估計 SHA-1 碰撞的成本為 $ 2^{61} $ SHA-1 呼叫。要了解它有多少（或多少），我們可以看看比特幣挖礦。現在（2014 年 9 月）整個採礦網路每秒計算200,000,000 次 SHA-256 的千兆雙雜湊，或 $ 2^{61} $ 三秒內散列。

Stevens 的攻擊是針對完整的 SHA-1，而不是簡化的回合變體。差異僅出現在部分回合中，但攻擊本身擴展到完整算法。但是，您連結的幻燈片中描述為“完全有效”的攻擊（全文的pdf）仍未用於展示實際的碰撞，因此它確實是理論上的。

此外，即使沒有攻擊，在可能發生碰撞攻擊的情況下，也可能是時候擺脫 SHA-1 了。對於非常敬業的攻擊者來說，80 位的蠻力可能是可行的，無論是現在還是在不久的將來。

有關的：

• 沒有 SHA-1 衝突？然而 SHA-1 壞了？
• 80 位的密鑰大小是否可以安全地抵禦暴力攻擊？

引用自：https://crypto.stackexchange.com/questions/19022