Selon diverses sources, des attaques à la recherche de collisions SHA-1 ont été améliorées à 2 ^ 52 opérations: P>
http://www.secureworks.com/research/blog/index.php/2009/6/3/sha--1-Collision-atacks-now-252/ p>
Qu'est-ce que j'aimerais savoir, c'est l'implication de ces découvertes sur des systèmes qui ne sont pas attaquées. Signification Si je dépose des données aléatoires, quelles sont les chances statistiques d'une collision? Dit un autre moyen, les recherches récentes indiquent-elles qu'une attaque d'anniversaire de force brute a une plus grande chance de trouver des collisions proposées à l'origine? P>
Certaines erreurs, comme celle ci-dessus, disent que l'obtention d'une collision SHA-1 via une force brute nécessiterait 2 ^ 80 opérations. La plupart des sources disent que 2 ^ 80 est un nombre théorique (je suppose parce qu'aucune fonction de hachage n'est vraiment distribuée parfaitement même sur son espace de Digest). p>
Ainsi sont l'une des faiblesses de collision annoncées de SHA1 dans la distribution de hachage fondamentale? Ou sont les chances de collision accrues que le résultat d'attaques mathématiques guidées? P>
Je me rends compte que, à la fin, ce n'est qu'un jeu de chances, et que c'est un changement infiniment petit changement que vos premier et second messages entraîneront une collision. Je me rends également compte que même 2 ^ 52 est un très grand nombre, mais je veux toujours comprendre les implications pour un système non attaqué. Alors s'il vous plaît ne répondez pas avec "Ne vous inquiétez pas pour ça". P>
3 Réponses :
Le résultat annoncé dans votre lien est une attaque em>, une séquence d'étapes prudentes et choisies par algorithmique qui génèrent des collisions avec une probabilité plus grande que d'une attaque aléatoire. Ce n'est pas une faiblesse de la répartition de la fonction de hachage. Eh bien, d'accord, c'est, mais pas du genre qui fait une attaque aléatoire probable sur l'ordre de 2 ^ 52 de réussir. P>
Si personne n'essaie de générer des collisions dans vos sorties de hachage, ce résultat ne vous affecte pas. P>
Il y a eu plusieurs faiblesses de collision SHA1 annoncées. Sont-ils toutes des attaques spécialement conçues?
Je n'ai entendu parler d'aucun ce qui n'était pas. Une façon de juger pour vous-même: si un article décrit une technique pour Collisions de hachage i> dans SHA-1, ou discute d'une attaque, vous pouvez être sûr que l'article ne discute pas d'une défaillance générale de SHA -1.
Hmm. Sorte d'un raisonnement vague ici ... Je ne suis pas révélateur, mais si j'étais l'OP, j'accepterais plutôt l'une des réponses les plus récentes, car elles sont plus précises.
@Jason S: Ils peuvent être plus précis mais la réponse de David Seiler est beaucoup plus lisible et au point.
Bien de bonnes fonctions de hachage résistent à 3 types d'attaques différents (comme l'étatique de l'article). p>
La résistance la plus importante de manière pratique est la 2ème résistance à l'image. Cela signifie fondamentalement donné un message M1 et HASH (M1) = H1, il est difficile de trouver un M2 tel que hachage (m2) = H1. p>
Si quelqu'un a trouvé un moyen de le faire efficacement, ce serait mauvais. En outre, une attaque préimale n'est pas sensible au paradoxe d'anniversaire, car le message M1 est fixé pour nous. p>
Ce n'est pas une attaque pré-image ou une deuxième image pré-image, simplement une attaque de collision. Pour répondre à votre question, aucune attaque de force brute n'a pas de chance de trouver des collisions. Cela signifie que la méthode de la force brute naïve, combinée aux méthodes des chercheurs, a permis de trouver des collisions après 2 ^ 52. Une attaque de force brute standard prend toujours 2 ^ 80. P>
La question clé est "L'attaquant peut-il modifier les messages M1 et M2"? Si tel est le cas, l'attaquant doit trouver M1, M2 tel que hachage (M1) = hachage (m2). C'est l'attaque d'anniversaire et la complexité réduit considérablement - devient racine carrée. Si la sortie de hachage est de 128 bits (MD5), la complexité est de 2 ^ 64, bien à portée de main avec la puissance de calcul actuelle. p>
L'exemple habituel donné est que le vendeur demande à sa secrétaire de taper le message "Je le vendrai pour 10 millions de dollars". Le secrétaire SCHEMING crée 2 documents, ce qui dit: "Je le vendrai pour 10 millions de dollars" et un autre qui dit "je le vendrai pour x millions de dollars", où X est beaucoup moins de 10, modifie les deux messages en ajoutant des espaces, capitalisant Mots, etc., modifie x, jusqu'à ce que hachage (m1) = hachage (m2). Maintenant, la secrétaire montre le bon message M1 au vendeur et il le signale en utilisant sa clé privée, ce qui entraîne un hachage H. Le secrétaire bascule le message et envoie (m2, h). Seul le vendeur a accès à sa clé privée et il ne peut donc pas répudier et dire qu'il n'a pas signé le message. P>
Pour SHA1, qui produit 160 bits, l'attaque d'anniversaire réduit la complexité à 2 ^ 80. Cela devrait être sûr pendant 30 ans ou plus. Nouveaux réglementations gouvernementales, les spécifications 4G 3GPP commencent à exiger SHA256. P>
Mais si dans votre cas d'utilisation, l'attaquant ne peut pas modifier à la fois les messages (preimage ou deuxième scénarios de prétimage), puis pour SHA1, la complexité est de 2 ^ 160. Devrait être sûr pour l'éternité à moins que l'attaque de la force non brute ne soit découverte. P>
+1 pour distinguer les attaques de prétimage et les attaques de collision, qui sont deux risques complètement différents.
devrait probablement être migré vers la cryptographie.se