首页 >互联网 > 内容

对SHA1哈希算法的攻击在上周变得更加危险

互联网 2020-06-04 10:34:51

对SHA-1哈希算法的攻击在上周变得更加危险,因为发现了一种廉价的“选择前缀冲突攻击”,它是谷歌两年前首次实施的SHA-1冲突攻击的一个更实用的版本。

这意味着SHA-1碰撞攻击现在可以通过自定义输入来执行,而且它们不再只是意外事故,允许攻击者针对特定文件进行复制和伪造。

SHA-1哈希函数在2005年理论上被打破;然而,现实世界中第一次成功的碰撞攻击发生在2017年。

两年前,来自谷歌和CWI的学者生成了两个具有相同SHA-1散列的文件,这是世界上第一次SHA-1碰撞攻击——称为“粉碎”。

密码学家预测SHA-1在现实世界中会被破坏,但这项失败的研究比他们的预期早了三年,而且使用云租用计算能力执行的成本仅为11万美元,远低于人们的预期。

但上周,来自法国和新加坡的一个学者团队在一篇题为《从碰撞到选择-前缀碰撞-应用到完全SHA-1》的新研究论文中,进一步论证了SHA-1“选择-前缀”碰撞攻击,从而将这一破碎的研究又向前推进了一步。

“找到一个实际的碰撞攻击严重打破了哈希函数当然,但实际损害,可以用这样的碰撞是有限的攻击者将没有控制碰撞的实际数据,”托马斯·Peyrin一位研究员告诉ZDNet在周末通过电子邮件。

“一个更有趣的攻击是找到所谓的‘选择-前缀冲突’,攻击者可以自由地为两个冲突消息选择前缀。这种碰撞改变了威胁方面的一切,因为你现在可以考虑与内部有意义的数据发生碰撞(比如数字证书中的姓名或身份,等等)。”

首先,沙1被击碎。https://t。现在它被夷为平地。是时候停止使用SHA1了。(HMAC-SHA1仍然可以。)

这意味着SHA-1碰撞攻击不再是轮盘赌游戏,现在,威胁行动者可以伪造任何他们想要的SHA-1签名的文档,从业务文档到TLS证书。

但是Peyrin和他的同事Gaetan Leurent的工作已经远远超出了证明SHA-1选择前缀碰撞攻击在理论上是可能的。

它们还表明,这类攻击现在很便宜,而且在网络犯罪和民族国家攻击者的预算之内。

“这些选择-前缀碰撞被认为比经典碰撞更难发现。对于SHA-1,之前最好的搜索方法需要2^77个SHA-1的评估,这在实践中仍然是遥不可及的,”Peyrin告诉ZDNet。

他说:“我们这篇文章的新颖之处在于,我们解释了如何大幅降低SHA-1的查找选项-前缀冲突的成本,几乎与查找经典冲突的成本相同。”

“我们目前正在进行进一步的改进(尚未发表),我们现在评估,可以用少于10万美元的预算找到SHA-1的选择前缀冲突,这是非常实际的。”

这大约是与最初的破碎研究相同的成本,然而,如果攻击者想要攻击sha -1保护的数据,这个版本的攻击是他们可能会使用的。

Peyrin说:“我们已经测试了攻击的所有子组件,但是我们还没有尝试计算一个选择前缀冲突的例子。”

“我们最初的估计是100万美元来计算选择前缀碰撞,这是我们根本没有的钱。由于我们的最新改进,成本降低到10万美元以下,我们目前正在为SHA-1计算第一个选择前缀冲突。

研究人员说:“希望我们不久就能公布新的研究结果。”

浏览器厂商很早就开始反对在他们的产品中支持sha -1签名的TLS流量;然而,其他应用程序仍然依赖于它。

“仍然有许多用户使用较老的浏览器和许多允许SHA-1签名的协议和软件。具体来说,仍然可以从可信的CA购买SHA-1证书,许多电子邮件客户端在打开TLS连接时接受SHA-1证书,”Peyrin告诉我们。

SHA-1还广泛支持对TLS和IKE握手消息进行身份验证。现在,什么协议可以被攻击,以及攻击到什么程度,目前还很难说,因为它需要仔细检查协议的内部工作,以及数字签名/证书如何使用,等等。

佩兰说:“然而,我们可以说,我们的攻击使使用数字签名或基于SHA-1的证书的产品面临可能的风险。”

“关键信息应该是,使用SHA-1进行数字签名或证书是非常危险的,不应该被允许。强烈建议这样做的人现在改为SHA-2或SHA-3。”

“对SHA-1的攻击只会越来越好,”Paragon Initiative Enterprises的首席开发官、著名密码专家斯科特·阿希谢夫斯基(Scott Arciszewski)在另一封电子邮件中告诉ZDNet。

“每个人都应该转向(优先顺序):

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。