MAC 雙重雜湊是否足以防止長度擴展攻擊?
我知道 $$ mac=\operatorname{SHA1}(secret\mathbin|message) $$
很容易受到長度擴展攻擊,但是呢:
$$ mac=\operatorname{SHA1}(\operatorname{SHA1}(secret\mathbin|message))? $$
為了讓某人進行長度擴展攻擊,他們是否必須暴力破解秘密或暴力破解初始 $ \operatorname{SHA1} $ 本身?(第一個對於一個好的秘密應該是不可行的,而第二個應該和僅僅暴力破解新雜湊本身一樣昂貴,甚至可能更昂貴?)
(編輯:最初在這裡也有關於 HMAC 的第二個問題,但我想我會在一個單獨的執行緒中提出這個問題,對於評論中的混淆感到抱歉)
$$ mac=\operatorname{SHA1}(\operatorname{SHA1}(secret\mathbin|message)) $$
mac 雙重雜湊是否足以防止長度擴展攻擊?
雙重雜湊是由Ferguson 和 Schneier 在他們的書 Practical Cryptography 第 6.3.1 章中定義的, 以再次對抗長度擴展攻擊(以及比特幣中使用的 SHA256D)。他們書中的細節,我沒有副本。因此,我們可以假設它對長度擴展攻擊具有抵抗力。或者,可以給出一個簡單的論點:
要執行長度擴展攻擊,攻擊者需要產生$$ mac=\operatorname{SHA1}(\operatorname{SHA1}(secret\mathbin|message|pad\mathbin|message_2\mathbin|pad_2)) $$但他們只能控制 $ h $ 並且實際的長度擴展攻擊可以像這樣在外部呼叫上起作用
$$ mac=\operatorname{SHA1}(\operatorname{SHA1}(secret\mathbin|message|pad)\mathbin|message_2\mathbin|pad_2) $$. 甚至攻擊者可以偽造mac(即結果相同)它會失敗,因為它不起作用。
為了讓某人進行長度擴展攻擊,他們不是必須暴力破解秘密還是暴力破解初始 SHA1 本身嗎?(第一個對於一個好的秘密應該是不可行的,而第二個應該和僅僅暴力破解新雜湊本身一樣昂貴,甚至可能更昂貴?)
因此,您想將其用作Message Authentication Code (MAC)。如果秘密至少為 128 位,則無法暴力破解秘密。
此處的蠻力初始被稱為原像攻擊,它被賦予一個雜湊值 $ h $ 找到輸入 $ x $ 這樣 $ h=H(x) $ ( 或者 $ h=H(H(x)) $ )。通用原像攻擊的代價是 $ \mathcal{O}(2^n) $ 在哪裡 $ n $ 是散列函式的輸出大小 $ h $ . 對於 SHA-1,這使得 $ \mathcal{O}(2^{160}) $ . SHA-1在原像電阻中破碎但未損壞。因此前像攻擊是不可行的。實際上,原像攻擊並不能保證返回用於創建雜湊值的實際消息。那裡也可能失敗。
據我所知,這種結構沒有安全證明作為安全 MAC。在上層有一個廣泛的答案 $ H(k\mathbin|H(k\mathbin|m)) $ .
相反,使用經過驗證的;HMAC-SHA256,或帶有SHA3的新版本;克馬克。由於 SHA3 對長度擴展攻擊具有抵抗力,因此 KMAC 的建構要容易得多。
SHA3設計使前綴構造 $ H(k\mathbin|m) $ 一個安全的 PRF,並帶有內置的 PRF 模式,即密鑰 KMAC。帶有一個將 PRF 的安全性與原語聯繫起來的定理。
另外,請注意,SHA2系列的修剪版本還可以抵抗 SHA-512/256 等長度擴展攻擊。修剪防止添加擴展消息和填充以繼續散列。如果修剪> 120,則必須猜測/嘗試修剪的數量。
更新:我查看了本書第 6.4 節。事實證明,他們在新書中提出了兩種方法和一種新方法。
- 提議正在替換 $ m \to h(m) $ 和 $ m \to h(h(m)\mathbin|m)) $ . 他們定義了 $ h_{DBL} := h(h(m)\mathbin|m)) $
他們認為,如果 $ h $ 是一個安全的密碼散列函式 $ n $ nit 輸出,則它具有安全級別 $ n $ . 這很慢,您需要將整個消息發送兩次。 2. 提議是雙重雜湊 $ h(h(m)) $ 只聲稱它有 $ min(k,n/2) $ 在哪裡 $ k $ 是安全級別 $ h $ 和 $ n $ 是輸出大小。 3. 提案在新書Cryptography Engineering: Design Principles and Practical Applications 1st Edition
$$ h_d := h(h(0^b\mathbin|m) $$
並聲稱它有 $ min(k,n/2) $ 在哪裡 $ k $ 是安全級別 $ h $ 和 $ n $ 是輸出大小。