將 SHA256 嵌入到 BitTorrent 的 SHA1 中
BitTorrent 使用 SHA1 作為其雜湊值,但 SHA1 是不安全的,人們可以篡改原像並仍然獲得相同的雜湊值,對吧?
所以想像一下,我想非常確定我在 BitTorrent 上共享的文件將被下載它的人正確下載。包含2個文件是否有效,即:
- 我實際共享的文件;
- 包含我正在共享的文件的 SHA256 的文件。
然後接收者必須檢查 SHA256 是否匹配(加上檢查 SHA1 是否匹配,這將由 BitTorrent 客戶端自動完成)。
SHA-1 的問題是在實際攻擊shattered.io NIST於 2011 年將其從數字簽名中刪除之前的碰撞攻擊,因為發現碰撞會對數字簽名造成災難性後果。SHA-1 的一般衝突需要 $ 2^{80} $ -時間,這在 2011 年及以後被認為是低的。Rabin 是第一個使用雜湊(當時稱為壓縮)來證明其簽名方案的安全性的人,我們現在稱之為Rabin 簽名方案。NIST 仍然允許 SHA-1 將非數字簽名應用程序用作2019 年的可接受狀態,NIST.SP.800-131Ar2
BitTorrent 使用 SHA1 作為其雜湊值,但 SHA1 是不安全的,人們可以篡改原像並仍然獲得相同的雜湊值,對吧?
這不是給定雜湊值的原像攻擊 $ h = H(m) $ 對於一些消息 $ m $ 找到原像 $ x $ 散列函式的 $ H $ 以便 $ h = H(x) $ . 我們可以有 $ m=x $ 或不。根據定義,原像攻擊不需要平等。可以看出,這對於密碼破解非常有幫助,無論您是否找到相同的密碼都沒有關係,因為兩者都在工作。SHA-1 上沒有比一般的原像攻擊更好的原像攻擊,但這仍然需要 $ 2^{180} $ -時間。
您嘗試的是收到消息的第二原像攻擊 $ m $ 及其雜湊值 $ h = H(m) $ 找另外一個 $ m’ $ 這樣 $ h = H(m’) $ . SHA-1 沒有比通用原像攻擊更快的第二原像攻擊,並且通用第二原像攻擊的成本為 $ 2^{160} $ - SHA-1 的時間。
隨意篡改你會得到 $ 1/2^{180} $ 如果我們將 SHA-1 的輸出視為均勻隨機,則被篡改的文件具有相同雜湊的機率。
尋找第二個原像是非常危險的。例如; 可以為現有的 ISO 設計一個新的惡意 IOS 並替換它。BitTorrent 網路存在一個問題,即許多人共享同一個文件,這將在人們下載的 IOS 上造成衝突。因此,對於主動下載,它可能是不可能的。對於新的下載,如果攻擊者能夠快速找到第二個原像攻擊,那麼他們可能會在分發之前替換原始副本,也是IFs吧?
所以想像一下,我想非常確定我在 BitTorrent 上共享的文件將被下載它的人正確下載。包含2個文件是否有效,即:
我實際共享的文件;包含我正在共享的文件的 SHA256 的文件。然後接收者必須檢查 SHA256 是否匹配(加上檢查 SHA1 是否匹配,這將由 BitTorrent 客戶端自動完成)。
SHA256 計算是免費的,因為它沒有密鑰。IF攻擊者仍然可以像您一樣計算惡意 ISO 及其 SHA256 雜湊並儲存。
風險管理
SHA-1 的使用實際上取決於風險管理。例如,Git 仍然使用 SHA-1,Linus 對此有明確的理由;
Git 不需要 SHA-1 的第二個原像抵抗作為安全功能,因為它總是傾向於保留對象的最早版本以防發生衝突,從而防止攻擊者偷偷覆蓋文件。
現在 BitTorrent 呢?
BitTorrent 將文件分成 64 KB – 2 MB 的塊。torrent 的元數據文件(.torrent 文件)儲存每個片段的大小和雜湊值。與儲存的info_hash一起,使 BitTorrent 對故意篡改(中毒)具有很強的抵抗力。使用 info_hash 中的值來驗證塊 SHA-1。
對此有研究;
我們發現 BitTorrent 對內容中毒的抵抗力最強。
….
因為索引文件分佈在 P2P 文件共享系統之外,所以可以使用元數據中包含的可靠雜湊來驗證每個塊。此驗證為 BitTorrent 協議提供了對內容中毒的高抵抗力。
Bittorent 的 GitHub 上也有關於這個問題的長篇大論;簡而言之,如果您信任共享 .torrent 文件的主機,那麼您是安全的。
不,如果他們之前插入了已知周消息,他們只能篡改原圖像。可以預先計算兩個(或更多)消息,使它們具有相同的散列,即衝突。也可以簡單地使用具有相同 SHA-1 的兩個已知文件,例如來自 SHAttered 攻擊的 PDF 文件。然後他們可以根據使用的文件執行特定操作。
只有當接收者可以信任共享雜湊時,共享雜湊才有意義。將其託管在數據旁邊是沒有意義的。如果您在網站上看到這樣的散列,則散列有兩個功能:確保文件已完全正確下載,並確保從不太受信任的鏡像下載文件時文件正確。要使用密碼學解決此問題,您將使用簽名,由預先信任的證書中的公鑰驗證(例如,通過驗證/驗證證書鏈)。
似乎 bittorrent 將散列分佈在種子本身之外。這使得它在洪流節點分發期間不受更改的影響,但在我看來,它不會完全避免分發具有相同雜湊的兩個不同/預先計算的文件。從這個意義上說,對整個文件單獨散列可能確實有幫助,因為攻擊肯定不會針對 SHA-256。