Kolizja w SHA-1 to już 2^52

Submitted by Paweł Krawczyk on czw., 2009-04-30 23:42

W opublikowanej niedawno pracy zespół w składzie Cameron McDonald, Philip Hawkes i Józef Pieprzyk poinformował o opracowaniu metody znajdowania kolizji dla funkcji skrótu SHA-1 o złożoności $ 2^{52} $.

W udostępnionej prezentacji nie ma szczegółów technicznych (zapowiedziano rychłą publikację na Eprincie). Dotychczas najlepsza znana metoda umożliwiała znajdowanie kolizji przy złożoności $ 2^{63} $, jest to więc znaczący postęp w kierunku osłabienia funkcji SHA-1.

Należy pamiętać, że możliwość znalezienia kolizji funkcji SHA-1 nie oznacza jeszcze zagrożenia np. dla podpisu elektronicznego, w którego przypadku konieczny jest skuteczny atak typu pre-image.

http://eurocrypt2009rump.cr.yp.to/837a0a8086fa6ca714249409ddfae43d.pdf

http://ipsec.pl/kryptografia/2009/aktualny-poziom-bezpieczenstwa-kryptog...

Odpowiedzi

Opcje wyświetlania odpowiedzi

Wybierz preferowany sposób wyświetlania odpowiedzi i kliknij "Zapisz ustawienia" by wprowadzić zmiany.

"Należy pamiętać, że możliwość znalezienia kolizji funkcji SHA-1 nie oznacza jeszcze zagrożenia np. dla podpisu elektronicznego, w którego przypadku konieczny jest skuteczny atak typu pre-image."

Kolizja OZNACZA zagrożenie dla podpisu. Wymaganie odporności na kolizję funkcji skrótu, wprowadzono
m.in. ze względu na użycie ich w podpisie cyfrowym (patrz: Handbook of Applied Cryptography).

Jeden z przykładów nadużycia: napastnik potrafi znaleźć dwie kolidujące wiadomości. Jedna z nich jest niekorzystna dla ofiary. Drugą ofiara jest skłonna podpisać.
Jeśli ofiara podpisze drugą wiadomość, napastnik może twierdzić, że ofiara podpisała wiadomość niekorzystną.

Submitted by Anonymous (niezweryfikowany) on wt., 2009-05-19 12:25.

Faktycznie, opisany scenariusz wygląda na możliwy do przeprowadzenia.

Submitted by Paweł Krawczyk on wt., 2009-05-19 12:37.