In che modo SHA-1 è insicuro se non è vulnerabile a ciò che è MD5?

SHA-1 è vulnerabile alle collisioni, anche se nessuno è stato ancora reso pubblico.

Alcuni crittografi hanno lavorato sull'argomento negli ultimi anni e hanno stimato che il costo di trovare una collisione sta diminuendo così tanto che alcuni attacchi saranno molto presto nel regno delle possibilità.

Nell'ottobre 2015, un importante traguardo è stato contrassegnato con il primo esempio di collisione di Freestart per SHA-1 , che è una collisione per la sua funzione interna. Questa non è una collisione completa, ma questo è ancora un importante miglioramento nel modo in cui trovarne uno, quindi hanno consigliato di spostarsi da SHA-1 perché si aspettano che le prime collisioni vengano trovate molto presto.

Hanno stimato il nuovo costo di una collisione completa da 75.000 $ e 120.000 $, che è un miglioramento di 3-4 anni rispetto ai precedenti stime.

SHA-256 e SHA-512 sono algoritmi diversi e non sono interessati da questi attacchi teorici.

Aggiornamento (febbraio 2017): è stata annunciata la prima collisione pubblica su SHA-1!

Entrambi questo PDF e questo condivide lo stesso hash SHA-1. Questa collisione è stata trovata usando Shattered , un nuovo attacco a SHA-1.

Puoi anche leggere l'articolo del team di sicurezza di Google sul loro blog.

Senza nemmeno considerare i dettagli di progettazione dell'algoritmo SHA-1, esso è vulnerabile agli attacchi di collisione semplicemente dall'avere un output troppo corto.

L'output di SHA-1 è 160 bit. Usando un attacco di compleanno, è possibile trovare una collisione con solo 2⁸⁰ invocazioni di SHA-1. Il sistema bitcoin ha dimostrato che calcolare i valori hash 2⁸⁰ è fattibile con la tecnologia attuale. In effetti, i bitcoin calcolano molti hash ogni due settimane.

Come tale, qualsiasi algoritmo di hashing con un'uscita di 160 bit o inferiore può essere escluso per usi che richiedono che le collisioni siano intrattabili.