これは2015年です。SHA1はまだ悪用またはクラックされていますか？

Question

qualys SSLラボに行き、1つのWebサイトをテストしました。調査結果の1つは、サイトが弱いアルゴリズムSHA1withRSAで署名されていることを示しており、SHA-2に変更する必要があると私が調査したところ、 SHA1が本当にハッキングまたはクラックされているか、SHA2への変更を保証するためにまだ悪用されているかどうかを知ることができますか？

ありがとう

Tom Leek · Accepted Answer

SHA-1が関与し、SHA-1の構造的な弱点を使用する実際の中断は、実際のところ、ましてや実際のところ、学術的な条件で十分に実証されていません。

今のところ最高の理論的な衝突攻撃であり、攻撃者は「約2の労力でSHA-1衝突を計算できます。⁶¹"、それは巨大ですが、それでも2よりもかなり少ないです⁸⁰ 160ビット出力の「完全な」ハッシュ関数から期待される抵抗。ながら2⁶¹ は既存の技術の手の届くところにあります。金持ちの大学でさえ、その種の実験に気軽にふけるには高すぎます。そのため、実際の衝突はまだ発生していません。さらに、実際の攻撃者にとって、衝突を計算しても大きなパワーが付与されることはめったにありません-通常、攻撃者は衝突を計算して、衝突するメッセージの内容をある程度制御する必要があります、これは難しいかもしれません（そうでないかもしれません）。

別のパラメーターは、SHA-1が完全であっても、その出力サイズ（160ビット）は、約2での衝突抵抗の最大限界を意味します。⁸⁰、50万倍2⁶¹ （非常に高価）ですが、同時に究極的に高価ではありません。 A 2⁸⁰ 計算は、サイエンスフィクションを実行したり、物理法則を破ったりすることなく、地球上で利用可能な既存のテクノロジーとリソースを使用して想定できます。

デプロイされたアプリケーションのアルゴリズムの切り替えには時間がかかるので（ちょっと、私たちはそれでもSSL 3.0の使用をやめ、代わりにTLS 1.0に行くようにしようとしています、TLS 1.0が公開されてから15年以上経過しているため）、今すぐ導入することをお勧めします。これにより、テクノロジーが2になるまで改善された場合、SHA-1は段階的に廃止されます。⁸⁰ 努力は実際に実現可能になりました。

Aaron · Answer

2017年以降、SHA-1は安全であると見なされなくなりました。 CWIでのGoogleとマークスティーブンスのグループ報告参照されているスティーブンスのより限定された2015年の結果に基づいた、完全な非還元ラウンドSHA-1に対する衝突攻撃の成功ニコラミオットの回答。 Googleの発表については、ここをクリックです。

これは、SHA-1が完全に壊れているのではなく、単に侵害されているという意味ではありません。難易度/複雑さの順に、ハッシュアルゴリズムに対する3種類の攻撃があります。

衝突攻撃：同じ出力にハッシュする2つの異なる入力xとx 'を見つけます：h(x) = h（x '）。
2番目のプリイメージ攻撃：入力xとそのハッシュ値h（x）を指定して、h（x）にもハッシュする別の入力x 'を見つけます。つまり、h(x) = h（x '）
最初のプリイメージ攻撃攻撃：ハッシュ値yが与えられると、xがyにハッシュするような入力xを見つけます：h(x) = y。

調査結果は、最初のシナリオでの成功のみを報告します。衝突攻撃は、攻撃者が2つの異なるファイルを同じハッシュ署名を持つものとして提示することを可能にし、それらが同じファイルであるように見せかけます。この攻撃はユーティリティに制限があり、たとえば、SSL/TLSトラフィックを復号化したり、ハッシュされたパスワードを平文の同等のものに逆転したりするために使用することはできません。ただし、CAが必要に応じてランダム性を追加するように注意していない場合 MD5も同様に衝突のために壊れていました攻撃者は有効な証明書を別のIDや権限に変更し、それによって証明書を偽造したり、または署名、およびMitMトラフィックも可能であれば、SSL/TLSサーバーを偽装します。

Nicola Miotto · Answer

最近の発見によると、SHA-1衝突はもはや単純な理論ではありません。 paper と website を見てください。 slashdot post で述べたように

オランダとシンガポールの大学の研究者は、SHA1圧縮関数での衝突を発見することにより、SHA-1ハッシュアルゴリズムへの初期攻撃に成功しました

彼らは、EC2での数か月の計算で、75K $から120K $の間のSHA-1衝突コストを見積もります。更新するときかもしれません。

user140242 · Answer

はい、同じSHA1ハッシュを持つ2つの異なるファイルがあります： shattered-1.pdf および shattered-2.pdf

$:~/Documents$ md5sum shattered-* ee4aa52b139d925f8d8884402b0a750c shattered-1.pdf 5bd9d8cabc46041579a311230539b8d1 shattered-2.pdf $:~/Documents$ sha1sum shattered-* 38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-1.pdf 38762cf7f55934b34d179ae6a4c80cadccbb7f0a shattered-2.pdf

Tom Hale · Answer

これは2017年です。コリソンとそれを生成する手段が利用可能になりました。同じSHA1で2つの異なるPDFをダウンロードし、それを自分で証明できます。

Apache SVNには、同じSHA1を持つ2つのファイルが破損を引き起こすという問題があります。これは Ars Technicaの記事と述べています。