Esto es 2015. ¿Se ha explotado o craqueado SHA1 todavía?

10

fue al laboratorio de SSL de Qualys y probó un sitio web. Uno de los hallazgos dice que el sitio está firmado con el algoritmo débil SHA1withRSA e hice algunas investigaciones que dicen que deberíamos cambiar a SHA-2. ¿Puedo saber si SHA1 realmente ha sido pirateado, resquebrajado o explotado todavía para justificar un cambio a SHA2?

gracias

    
pregunta Pang Ser Lark 22.04.2015 - 17:38
fuente

5 respuestas

16

Actualmente no se ha demostrado completamente ninguna ruptura real que involucre SHA-1 y el uso de una debilidad estructural de SHA-1 en condiciones académicas, y mucho menos en la naturaleza.

Lo mejor que tenemos ahora es un ataque de colisión teórico que debería permitir a un atacante calcular una colisión SHA-1 con esfuerzo "aproximadamente 2 61 ", que es enorme, pero aún sustancialmente menor que la resistencia 2 80 esperada de una función hash "perfecta" con salida de 160 bits. Si bien 2 61 está al alcance de la tecnología existente, es demasiado costoso para que incluso las universidades ricas puedan disfrutar de ese tipo de experimento. Así que todavía no se ha producido ninguna colisión real. Además, para un atacante práctico, calcular una colisión rara vez otorga una gran cantidad de poder: el atacante generalmente debe calcular una colisión con cierto grado de control sobre el contenido de los mensajes en conflicto , que puede ser más difícil ( o no).

Otro parámetro es que incluso si SHA-1 es perfecto, su tamaño de salida (160 bits) implica un límite máximo a su resistencia de colisión en aproximadamente 2 80 , que es medio millón de veces 2 < sup> 61 (es bastante más caro), pero al mismo tiempo no es al final caro. Se puede visualizar un cálculo de 2 80 con la tecnología existente y los recursos disponibles en la Tierra sin necesidad de invocar algunas cosas de ciencia ficción o romper leyes de la física.

Dado que el cambio de algoritmos en aplicaciones implementadas lleva mucho tiempo (hey, todavía intentamos que las personas dejen de usar SSL 3.0 y, en cambio, vayan a TLS 1.0, más de 15 años después de TLS 1.0 fue publicado), es mejor que lo pongamos en marcha ahora, para que el SHA-1 se elimine realmente cuando la tecnología haya mejorado hasta el punto de que el esfuerzo 2 80 se ha vuelto viable en la práctica.

    
respondido por el Tom Leek 22.04.2015 - 18:13
fuente
19

A partir de 2017, SHA-1 ya no debe considerarse seguro. Google y el grupo de Marc Stevens en CWI informaron el éxito de los ataques de colisión contra el SHA-1 completo y no reducido, basado en los más limitados de Stevens. Los resultados de 2015 se mencionan en respuesta de Nicola Miotto . Para el anuncio de Google, haga clic aquí .

Esto no significa que SHA-1 esté completamente roto, sino que esté comprometido. Hay tres tipos de ataques en algoritmos hash, en orden de dificultad / complejidad crecientes:

  1. Ataque de colisión : encuentra dos entradas distintas x y x 'que tengan el hash en la misma salida: h (x) = h (x').

  2. Segundo ataque de preimagen : dada una entrada x y su valor hash h (x), encuentra otra entrada x 'que también ceda a h (x); es decir, h (x) = h (x ')

  3. Primer ataque de Preimage : dado un valor hash y, encuentra una entrada x tal que x hashes a y: h (x) = y.

Los hallazgos solo informan éxito con el primer escenario. Los ataques de colisión permiten que un atacante presente dos archivos diferentes con la misma firma de hash, por lo que pretende que son el mismo. Este ataque tiene una utilidad limitada y, por ejemplo, no se puede usar para descifrar el tráfico SSL / TLS o invertir las contraseñas con hash en sus equivalentes de texto sin formato. Sin embargo, si las AC no tienen cuidado de agregar aleatoriedad según sea necesario después de MD5 se rompió de manera similar por colisión un atacante podría modificar un certificado válido a una identidad y / o derechos diferentes y, por lo tanto, falsificar certificados y / o firmas, y si pueden también tráfico MitM, para hacerse pasar por servidores SSL / TLS.

    
respondido por el Aaron 23.02.2017 - 16:44
fuente
6

Según hallazgos recientes, la colisión SHA-1 ya no es una teoría simple. Consulte el papel y el sitio web . Como se indica en post slashdot

  

Investigadores de universidades holandesas y de Singapur han tenido éxito   llevado a cabo un ataque inicial en el algoritmo de hash SHA-1 por   encontrar una colisión en la función de compresión SHA1

Ellos estiman que el costo de la colisión SHA-1 entre 75K $ y 120K $ con unos pocos meses de cálculo en EC2. Quizás sea hora de actualizar.

    
respondido por el Nicola Miotto 27.10.2015 - 11:06
fuente
3

Sí, aquí hay dos archivos diferentes con el mismo hash SHA1: shattered-1.pdf y shattered-2.pdf

$:~/Documents$ md5sum shattered-*
ee4aa52b139d925f8d8884402b0a750c  shattered-1.pdf
5bd9d8cabc46041579a311230539b8d1  shattered-2.pdf
$:~/Documents$ sha1sum shattered-*
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf
    
respondido por el user140242 23.02.2017 - 17:47
fuente
1

Esto es 2017. Ahora está disponible una colisión y un medio para generarla . Puede descargar dos archivos PDF diferentes con el mismo SHA1 y probárselo usted mismo.

Apache SVN tiene un problema donde dos archivos con el mismo SHA1 causarán daños, dice esto artículo de Ars Technica .

    
respondido por el Tom Hale 25.02.2017 - 08:20
fuente

Lea otras preguntas en las etiquetas