État des recherches sur les attaques par collision SHA-1

La sécurité SHA-1 a été discutée depuis qu'un algorithme pour trouver les collisions a été publié pour la première fois au CRYPTO 2004 et a été amélioré par la suite.

Wikipédia énumère quelques références , mais il semble que les dernières recherches publiées (et ultérieurement retirées) sur ce sujet datent de 2009 (Cameron McDonald, Philip Hawkes et Josef Pieprzyk "Chemin différentiel pour SHA-1 avec complexité O (2 ^ 52)" ).

Depuis lors, des progrès importants ont-ils été accomplis dans la réduction de l'effort pour une attaque par collision de hachage sur SHA-1?

Un lien vers des recherches spécifiques accompagné d'un bref résumé serait apprécié.

cr.crypto-security hash-function cryptographic-attack

— Johannes Rudolph
source

Vous voudrez peut-être consulter la RFC6194 (mars 2011)

— netvope

Je sais que c'est vieux, mais si vous êtes toujours intéressé: eprint.iacr.org/2012/440

— mikeazo

Je sais que c'est vieux, mais si vous êtes toujours intéressé, vous voudrez peut-être jeter un œil sur sites.google.com/site/itstheshappening .

— Boson

SHA-1 a été SHattered par Stevens et al . Ils ont démontré que les collisions dans SHA-1 sont pratiques. Ils donnent la première instance d'une collision pour SHA-1.

Il s'agit d'une attaque par collision à préfixe identique qui a permis à l'attaquant de forger deux documents PDF distincts qui ont la même valeur de hachage SHA-1. C'est-à-dire qu'ils ont étendu un préfixe donné $p$ avec deux paires de blocs de quasi-collision distinctes pour tout suffixe $s$ entrant en collision.

S H A - 1 (p ‖ m_{0} ‖ m_{1} ‖ s) = S H A - 1 (p ‖ m_{0}^{'} ‖ m_{1}^{'} ‖ s)

$\operatorname{SHA-1}(p \mathbin\Vert m_0 \mathbin\Vert m_1 \mathbin\Vert s) = \operatorname{SHA-1}(p \mathbin\Vert m'_0 \mathbin\Vert m'_1 \mathbin\Vert s)$

s

$s$

(m_{0}, m_{1}) \neq (m_{0}^{'}, m_{1}^{'})

$(m_0, m_1) \neq (m'_0, m'_1)$

Le besoin de calcul est estimé à $2^{63.1}$

Le premier premier bloc proche de la collision a été trouvé après avoir passé environ 3 583 années de base qui avaient produit 180 711 solutions partielles jusqu'à l'étape 61. Un deuxième bloc proche de la collision a ensuite été calculé; cela a nécessité 2987 années de base supplémentaires et 148 975 solutions partielles. ¹

— Kelalaka
source