SHA-1衝突攻撃に関する研究の現状

SHA-1セキュリティは、衝突を検出するためのアルゴリズムがCRYPTO 2004で最初に公開され、その後改善されて以来議論されてきました。

ウィキペディアにはいくつかの参考文献がリストされていますが、このテーマに関する公開された（そして後に取り下げられた）最新の研究は2009年に行われたようです（Cameron McDonald、Philip Hawkes、Josef Pieprzyk "Differential Path for SHA-1 with complex O（2 ^ 52）" ）。

それ以来、SHA-1に対するハッシュコリジョン攻撃の労力を削減する上で大きな進展がありましたか？

短い要約を伴う特定の研究へのリンクをいただければ幸いです。

cr.crypto-security hash-function cryptographic-attack

— ヨハネス・ルドルフ
ソース

RFC6194（2011年3月）

— -netvope

私はこれが古いことを知っていますが、まだ興味がある場合：eprint.iacr.org/2012/440

— mikeazo

これは古いことは知っていますが、まだ興味がある場合は、sites.google.com / site / itstheshappeningをご覧ください。

— ボソン

SHA-1は、スティーブンズ他によって粉砕されました。彼らは、SHA-1の衝突が実用的であることを実証しました。SHA-1の衝突の最初のインスタンスを提供します。

これは同一プレフィックス衝突攻撃であり、攻撃者は同じSHA-1ハッシュ値を持つ2つの異なるPDFドキュメントを偽造できました。すなわち、衝突するサフィックスに対して、2つの異なる衝突に近いブロックペアを使用して、指定されたプレフィックスを拡張しました。 $p$ $s$

S H A - 1 (p ‖ m_{0} ‖ m_{1} ‖ s) = S H A - 1 (p ‖ m_{0}^{'} ‖ m_{1}^{'} ‖ s)

$\operatorname{SHA-1}(p \mathbin\Vert m_0 \mathbin\Vert m_1 \mathbin\Vert s) = \operatorname{SHA-1}(p \mathbin\Vert m'_0 \mathbin\Vert m'_1 \mathbin\Vert s)$ 接尾辞場合、

s

$s$

(m_{0}, m_{1}) \neq (m_{0}^{'}, m_{1}^{'})

$(m_0, m_1) \neq (m'_0, m'_1)$

計算要件はと推定されます $2^{63.1}$

最初の第1ブロックに近い衝突は、ステップ35まで180 711個の部分解を生成した約3583コア年を費やした後に発見されました。追加の2987コア年と148 975部分的なソリューションが必要でした。¹

— ケララカ
ソース