Forschungsstand zu SHA-1-Kollisionsangriffen

Die SHA-1-Sicherheit wurde diskutiert, seit ein Algorithmus zum Auffinden von Kollisionen erstmals auf der CRYPTO 2004 veröffentlicht und anschließend verbessert wurde.

Wikipedia listet einige Referenzen auf , es scheint jedoch, dass die neueste veröffentlichte (und später zurückgezogene) Forschung zu diesem Thema im Jahr 2009 war (Cameron McDonald, Philip Hawkes und Josef Pieprzyk "Differential Path for SHA-1 with complexity O (2 ^ 52)". ).

Wurden seitdem erhebliche Fortschritte bei der Reduzierung des Aufwands für einen Hash-Kollisionsangriff auf SHA-1 erzielt?

Ein Link zu spezifischen Forschungsergebnissen mit einer kurzen Zusammenfassung wäre willkommen.

cr.crypto-security hash-function cryptographic-attack

— Johannes Rudolph
quelle

Vielleicht möchten Sie RFC6194 (März 2011)

— Netvope

Ich weiß, dass dies alt ist, aber wenn Sie immer noch interessiert sind: eprint.iacr.org/2012/440

— Mikeazo

Ich weiß, dass dies alt ist, aber wenn Sie immer noch interessiert sind, sollten Sie einen Blick auf sites.google.com/site/itstheshappening werfen .

— Boson

SHA-1 wurde zerschmettert von Stevens et al . Sie zeigten, dass Kollisionen in SHA-1 praktisch sind. Sie geben die erste Instanz einer Kollision für SHA-1.

$p$ $s$

S H A - 1 (p ‖ m_{0} ‖ m_{1} ‖ s) = S H A - 1 (p ‖ m_{0}^{'} ‖ m_{1}^{'} ‖ s)

$\operatorname{SHA-1}(p \mathbin\Vert m_0 \mathbin\Vert m_1 \mathbin\Vert s) = \operatorname{SHA-1}(p \mathbin\Vert m'_0 \mathbin\Vert m'_1 \mathbin\Vert s)$

s

$s$

(m_{0}, m_{1}) \neq (m_{0}^{'}, m_{1}^{'})

$(m_0, m_1) \neq (m'_0, m'_1)$

Der Rechenaufwand wird auf geschätzt $2^{63.1}$

Der erste Nahblock in der Nähe des ersten Blocks wurde gefunden, nachdem etwa 3583 Kernjahre damit verbracht worden waren, 180 711 Teillösungen bis zu Schritt 61 zu erzeugen. Ein zweiter Block in der Nähe der Kollision wurde später berechnet; es erforderte zusätzliche 2987 Kernjahre und 148 975 Teillösungen. ¹

— Kelalaka
quelle