Stato della ricerca sugli attacchi di collisione SHA-1

La sicurezza SHA-1 è stata discussa da quando un algoritmo per la ricerca di collisioni è stato pubblicato per la prima volta al CRYPTO 2004 ed è stato successivamente migliorato.

Wikipedia elenca un paio di riferimenti , tuttavia sembra che l'ultima ricerca pubblicata (e successivamente ritirata) su questo argomento sia stata nel 2009 (Cameron McDonald, Philip Hawkes e Josef Pieprzyk "Differential Path for SHA-1 with complex O (2 ^ 52)" ).

Da allora, sono stati fatti progressi significativi nel ridurre lo sforzo per un attacco di collisione hash su SHA-1?

Un link a ricerche specifiche accompagnato da un breve riassunto sarebbe apprezzato.

cr.crypto-security hash-function cryptographic-attack

— Johannes Rudolph
fonte

Potresti voler dare un'occhiata a RFC6194 (marzo 2011)

— netvope,

So che questo è vecchio, ma se sei ancora interessato: eprint.iacr.org/2012/440

— mikeazo,

So che questo è vecchio, ma se sei ancora interessato, potresti dare un'occhiata a sites.google.com/site/itstheshappening .

— Boson,

SHA-1 è stato SHattered di Stevens et al . Hanno dimostrato che le collisioni in SHA-1 sono pratiche. Danno la prima istanza di una collisione per SHA-1.

$p$ $s$

S H A - 1 (p ‖ m_{0} ‖ m_{1} ‖ s) = S H A - 1 (p ‖ m_{0}^{'} ‖ m_{1}^{'} ‖ s)

$\operatorname{SHA-1}(p \mathbin\Vert m_0 \mathbin\Vert m_1 \mathbin\Vert s) = \operatorname{SHA-1}(p \mathbin\Vert m'_0 \mathbin\Vert m'_1 \mathbin\Vert s)$

s

$s$

(m_{0}, m_{1}) \neq (m_{0}^{'}, m_{1}^{'})

$(m_0, m_1) \neq (m'_0, m'_1)$

Il requisito computazionale è stimato a $2^{63.1}$

Il primo blocco vicino alla collisione fu trovato dopo aver speso circa 3583 anni centrali che avevano prodotto 180 711 soluzioni parziali fino al passo 61. Successivamente fu calcolato un secondo blocco vicino alla collisione; ha richiesto altri 2987 anni core e 148 975 soluzioni parziali. ¹

— kelalaka
fonte