Questo è il 2015. SHA1 è stato ancora sfruttato o incrinato?

10

è andato al laboratorio Qualys SSL e ha testato un sito web. Uno dei risultati dice che il sito è stato firmato con l'algoritmo debole SHA1withRSA e ho fatto alcune ricerche che stanno dicendo che dovremmo passare a SHA-2. potrei sapere se SHA1 è stato realmente hackerato o crackato o sfruttato ancora per giustificare una modifica a SHA2?

grazie

    
posta Pang Ser Lark 22.04.2015 - 17:38
fonte

5 risposte

16

Nessuna interruzione effettiva che coinvolge SHA-1 e l'utilizzo di una debolezza strutturale di SHA-1 è stata attualmente pienamente dimostrata in condizioni accademiche, figuriamoci in natura.

Il meglio che abbiamo adesso è un attacco di collisione teorico che dovrebbe consentire a un utente malintenzionato di calcolare una collisione SHA-1 con lo sforzo "circa 2 61 ", che è enorme ma ancora sostanzialmente inferiore alla resistenza 2 80 prevista da una funzione di hash "perfetta" con uscita a 160 bit. Mentre 2 61 è alla portata della tecnologia esistente, è troppo costoso per le università ricche per indulgere casualmente in quel tipo di esperimento. Quindi nessuna collisione effettiva è stata ancora prodotta. Inoltre, per un attaccante pratico, il calcolo di una collisione raramente garantisce molta potenza - l'attaccante deve solitamente calcolare collisioni con un certo grado di controllo sui contenuti dei messaggi collidenti , che può essere più difficile ( oppure no).

Un altro parametro è che anche se SHA-1 è perfetto, la sua dimensione di uscita (160 bit) implica un limite massimo alla sua resistenza di collisione a circa 2 80 , che è mezzo milione di volte 2 < sup> 61 (quindi molto più costoso), ma allo stesso tempo non alla fine costoso. Un calcolo 2 80 può essere immaginato con la tecnologia e le risorse esistenti disponibili sulla Terra, senza bisogno di invocare alcune sci-fi o infrangere le leggi della fisica.

Poiché gli algoritmi di commutazione nelle applicazioni implementate richiedono molto tempo (ehi, siamo ancora cercando di indurre le persone a smettere di usare SSL 3.0 e invece di passare a TLS 1.0, oltre 15 anni dopo TLS 1.0 è stato pubblicato), faremmo meglio a farlo ora, in modo che lo SHA-1 sia davvero eliminato quando la tecnologia è migliorata al punto che lo sforzo 2 80 è diventato praticabile nella pratica.

    
risposta data 22.04.2015 - 18:13
fonte
19

A partire dal 2017, SHA-1 non dovrebbe più essere considerato sicuro. Il gruppo di Google e Marc Stevens al CWI ha riportato successo con attacchi di collisione contro l'intero SHA-1 non ridotto, basato sul più limitato di Stevens I risultati del 2015 fanno riferimento a la risposta di Nicola Miotto . Per l'annuncio di Google, fai clic qui .

Questo non significa che SHA-1 sia completamente rotto, ma solo compromesso. Esistono tre tipi di attacchi sugli algoritmi hash, in ordine crescente di difficoltà / complessità:

  1. Collision Attack : trova due input distinti x e x 'che ha hash sullo stesso output: h (x) = h (x').

  2. Secondo Preimage Attack : Dato un certo input x e il suo valore hash h (x), trova un altro input x 'che ha anche hash su h (x); cioè h (x) = h (x ')

  3. Primo attacco Preimage : dato un valore hash y, trova un input x tale che x hashes a y: h (x) = y.

I risultati riportano solo il successo con il primo scenario. Gli attacchi di collisione consentono a un utente malintenzionato di presentare due file diversi con la stessa firma hash, facendo quindi finta di essere lo stesso file. Questo attacco ha un'utilità limitata e, ad esempio, non può essere utilizzato per decrittografare il traffico SSL / TLS o invertire le password con hash nei loro equivalenti in testo normale. Tuttavia, se le CA non fanno attenzione ad aggiungere casualità come richiesto dopo MD5 è stato analizzato in modo analogo per la collisione un utente malintenzionato potrebbe essere in grado di alterare un certificato valido con un'identità e / o diritti diversi e quindi falsificare certificati e / o firme e, se è possibile, anche il traffico MitM, impersonare i server SSL / TLS.

    
risposta data 23.02.2017 - 16:44
fonte
6

Secondo recenti scoperte, la collisione SHA-1 non è più una semplice teoria. Dai un'occhiata al articolo e al sito web . Come indicato nella slashdot post

Researchers from Dutch and Singapore universities have successfully carried out an initial attack on the SHA-1 hashing algorithm by finding a collision at the SHA1 compression function

Stimano il costo di collisione SHA-1 tra 75K $ e 120K $ con alcuni mesi di calcolo su EC2. Forse è il momento di aggiornare.

    
risposta data 27.10.2015 - 11:06
fonte
3

Sì, qui ci sono due file diversi con lo stesso hash SHA1: shattered-1.pdf e frantumato-2.pdf

$:~/Documents$ md5sum shattered-*
ee4aa52b139d925f8d8884402b0a750c  shattered-1.pdf
5bd9d8cabc46041579a311230539b8d1  shattered-2.pdf
$:~/Documents$ sha1sum shattered-*
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf
    
risposta data 23.02.2017 - 17:47
fonte
1

Questo è il 2017. È ora disponibile un collison e un mezzo per generarlo . Puoi scaricare due diversi PDF con lo stesso SHA1 e provarlo a te stesso.

Apache SVN ha un problema in cui due file con lo stesso SHA1 causano il danneggiamento, dice questo Articolo di Ars Technica .

    
risposta data 25.02.2017 - 08:20
fonte

Leggi altre domande sui tag