对SHA1哈希算法的攻击在上周变得更加危险

对SHA-1哈希算法的攻击在上周变得更加危险，因为发现了一种廉价的“选择前缀冲突攻击”，它是谷歌两年前首次实施的SHA-1冲突攻击的一个更实用的版本。

这意味着SHA-1碰撞攻击现在可以通过自定义输入来执行，而且它们不再只是意外事故，允许攻击者针对特定文件进行复制和伪造。

SHA-1哈希函数在2005年理论上被打破;然而，现实世界中第一次成功的碰撞攻击发生在2017年。

两年前，来自谷歌和CWI的学者生成了两个具有相同SHA-1散列的文件，这是世界上第一次SHA-1碰撞攻击——称为“粉碎”。

密码学家预测SHA-1在现实世界中会被破坏，但这项失败的研究比他们的预期早了三年，而且使用云租用计算能力执行的成本仅为11万美元，远低于人们的预期。

但上周，来自法国和新加坡的一个学者团队在一篇题为《从碰撞到选择-前缀碰撞-应用到完全SHA-1》的新研究论文中，进一步论证了SHA-1“选择-前缀”碰撞攻击，从而将这一破碎的研究又向前推进了一步。

“找到一个实际的碰撞攻击严重打破了哈希函数当然,但实际损害,可以用这样的碰撞是有限的攻击者将没有控制碰撞的实际数据,”托马斯·Peyrin一位研究员告诉ZDNet在周末通过电子邮件。

“一个更有趣的攻击是找到所谓的‘选择-前缀冲突’，攻击者可以自由地为两个冲突消息选择前缀。这种碰撞改变了威胁方面的一切，因为你现在可以考虑与内部有意义的数据发生碰撞(比如数字证书中的姓名或身份，等等)。”

首先，沙1被击碎。https://t。现在它被夷为平地。是时候停止使用SHA1了。(HMAC-SHA1仍然可以。)

这意味着SHA-1碰撞攻击不再是轮盘赌游戏，现在，威胁行动者可以伪造任何他们想要的SHA-1签名的文档，从业务文档到TLS证书。

但是Peyrin和他的同事Gaetan Leurent的工作已经远远超出了证明SHA-1选择前缀碰撞攻击在理论上是可能的。

它们还表明，这类攻击现在很便宜，而且在网络犯罪和民族国家攻击者的预算之内。

“这些选择-前缀碰撞被认为比经典碰撞更难发现。对于SHA-1，之前最好的搜索方法需要2^77个SHA-1的评估，这在实践中仍然是遥不可及的，”Peyrin告诉ZDNet。

他说:“我们这篇文章的新颖之处在于，我们解释了如何大幅降低SHA-1的查找选项-前缀冲突的成本，几乎与查找经典冲突的成本相同。”

“我们目前正在进行进一步的改进(尚未发表)，我们现在评估，可以用少于10万美元的预算找到SHA-1的选择前缀冲突，这是非常实际的。”

这大约是与最初的破碎研究相同的成本，然而，如果攻击者想要攻击sha -1保护的数据，这个版本的攻击是他们可能会使用的。

Peyrin说:“我们已经测试了攻击的所有子组件，但是我们还没有尝试计算一个选择前缀冲突的例子。”

“我们最初的估计是100万美元来计算选择前缀碰撞，这是我们根本没有的钱。由于我们的最新改进，成本降低到10万美元以下，我们目前正在为SHA-1计算第一个选择前缀冲突。

研究人员说:“希望我们不久就能公布新的研究结果。”

浏览器厂商很早就开始反对在他们的产品中支持sha -1签名的TLS流量;然而，其他应用程序仍然依赖于它。

“仍然有许多用户使用较老的浏览器和许多允许SHA-1签名的协议和软件。具体来说，仍然可以从可信的CA购买SHA-1证书，许多电子邮件客户端在打开TLS连接时接受SHA-1证书，”Peyrin告诉我们。

SHA-1还广泛支持对TLS和IKE握手消息进行身份验证。现在，什么协议可以被攻击，以及攻击到什么程度，目前还很难说，因为它需要仔细检查协议的内部工作，以及数字签名/证书如何使用，等等。

佩兰说:“然而，我们可以说，我们的攻击使使用数字签名或基于SHA-1的证书的产品面临可能的风险。”

“关键信息应该是，使用SHA-1进行数字签名或证书是非常危险的，不应该被允许。强烈建议这样做的人现在改为SHA-2或SHA-3。”

“对SHA-1的攻击只会越来越好，”Paragon Initiative Enterprises的首席开发官、著名密码专家斯科特·阿希谢夫斯基(Scott Arciszewski)在另一封电子邮件中告诉ZDNet。

“每个人都应该转向(优先顺序):