行业新闻与博客

计算机科学家已经对 SHA-1（一种老化但仍被广泛使用的哈希算法）进行了更合理，更实用的攻击。

SHA-1（安全哈希算法 1）是一种加密哈希函数，最早于 1990年代开发，在许多应用程序中一直活跃使用。

尽管已被更现代的哈希算法所取代，但 SHA-1 仍被 GnuPG / PGP 的旧版本以及 Secure Shell（SSH）和 TLS 协议支持作为默认哈希函数，用于进程内数字签名。

Git 等软件版本控制实用程序使用 SHA-1 来验证软件构建的完整性。

Mozilla 等网络浏览器供应商于 2017年放弃了对 SHA-1 SSL 证书的支持，此后不久，阿姆斯特丹 CWI 和 Google 的安全研究人员针对 SHA-1 发起了“冲突攻击”。

利用广泛的 GPU 群集的强大功能进行的攻击涉及识别两个具有相同 SHA-1 散列的不同 PDF 文档，称为“冲突”。

哈希函数接受输入并对其进行处理，以提供固定大小的哈希值或消息摘要。比找到两个具有相同散列值的任意文件更具威胁性的是，找到一种将数据追加到两个现有文档的方式，使它们返回相同的 SHA-1 散列，这就是“选择前缀冲突”（更大）交易）。

自 2004年以来，针对较早的 MD5 哈希协议，这种攻击就很实用。

研究人员 GaëtanLeurent 和 Thomas Peyrin 的工作表明，SHA-1 现在已使用学者或资源丰富的攻击者可用的一定数量的资源，而不是通过以下方式提供的无限预算和数字处理能力，陷入了“选择前缀冲突”政府情报机构可能会依赖的超级计算机。

学者们汇总了一次实际攻击，每复制一次产生的所选前缀冲突，就要花费大约 4.5 万美元，如论文（PDF）中所述：“ SHA-1 是一场混乱：SHA-1 和应用程序首次选择的前缀冲突”到 PGP 信任网”。它说明：

我们设法显着降低了针对 SHA-1 的冲突攻击的复杂性：在 Nvidia GTX 970 上，现在可以以 2 61.2 而不是 2 64.7 的复杂度计算相同前缀的冲突，并以 2 的复杂度计算选定前缀的冲突。63.4 而不是 2 67.1。当租用便宜的 GPU 时，在学术研究人员的力所能及的范围内，这意味着一次碰撞的成本为 11000 美元，对于一个选定的前缀的碰撞，成本为 45000 美元。

以前已经实现过针对 SHA-1 的选择前缀冲突，但从未以低于 $ 100K 的代价实现。Leurent 和 Peyrin 通过创建一对具有不同身份但与 SHA-1 证书冲突的 PGP / GnuPG 密钥，说明了它们的改进和更强大的攻击。

该研究明确传达的信息是，仍然依赖 SHA-1 的开发人员需要迁移到更安全的 SHA-2 和 SHA-3 方案上，而这两种方案始终保持不变。

该研究在一个专门的站点上进行了总结，并于本周早些时候在纽约市的“ 真实世界加密货币研讨会”上进行了介绍。

安全专家罗布·格雷厄姆（Rob Graham）警告说，尽管 SHA-1 背后的加密技术不再可靠，但认为实际攻击会泛滥网络是错误的。

“还没有人采用现有的 MD5 或 SHA-1 哈希，并且创建了使用相同哈希产生的不同文档 / 消息 / 文件，” Graham  在 Twitter 上解释道。

阅读最新的加密安全新闻

实际的结果是，使用 SHA-1 哈希发布的 SSL 证书仍然是安全的，但是依赖于老化哈希算法的新证书不应被信任。

“我无法创建与已经颁发的证书匹配的欺诈性 SSL 证书。但是，我可以为两个不同的域创建两个证书，并拥有一个证书颁发机构的签名，为另一个域（Google 等）创建有效的签名。” Graham 总结道。

萨里大学的计算机科学家艾伦·伍德沃德（Alan Woodward）教授说，最新的密码学研究应该是 SHA-1 的“妙招”。

伍德沃德教授对《每日新闻》说： “我们已经看到 SHA-1 撞车的一个例子，这的确使每个人都感觉它已经死了。”

“这次最新攻击只是表明可能进行更广泛的攻击，但这样做的代价仍然很高，尽管所有此类攻击都会下降。”

研究中心对遗留系统的实际后果。

“唯一的真实结果就是我们仍然沿用 SHA-1：例如一些较旧的 PGP。我认为这些遗留系统存在各种问题，原因有很多，尤其是您有时会发现永远都不应该选择的旧密码，”伍德沃德教授解释说。

他补充说：“只要这些东西都可用，您希望它会在很短的时间内出现，那么您就有可能降级攻击。”

本文由机器译制