Ab 2017 sollte SHA-1 nicht mehr als sicher angesehen werden. Die Gruppe von Google und Marc Stevens bei CWI berichtete über Erfolge bei Kollisionsangriffen gegen die vollständige, nicht reduzierte Runde SHA-1, basierend auf Stevens 'begrenzteren Ergebnissen für 2015, auf die in Nicola Miottos Antwort . Für die Google-Ankündigung hier klicken.

Dies bedeutet nicht, dass SHA-1 vollständig defekt ist, sondern nur kompromittiert. Es gibt drei Arten von Angriffen auf Hash-Algorithmen in der Reihenfolge zunehmender Schwierigkeit / Komplexität:

1. Kollisionsangriff : Finden Sie zwei unterschiedliche Eingaben x und x ' dieser Hash auf dieselbe Ausgabe: h (x) = h (x ').

2. Zweiter Preimage-Angriff : Bei einigen Eingaben x und seinem Hash Wert h (x), finde einen anderen Eingang x ', der ebenfalls mit h (x) hasht; dh h (x) = h (x ')

3. Angriff vor dem ersten Bild : Wenn ein Hashwert y gegeben ist, suchen Sie eine Eingabe x so, dass x Hashes zu y: h (x) = y.

ol>

Die Ergebnisse berichten nur über den Erfolg mit dem ersten Szenario. Durch Kollisionsangriffe kann ein Angreifer zwei verschiedene Dateien mit derselben Hash-Signatur präsentieren und so tun, als wären sie dieselbe Datei. Dieser Angriff ist nur begrenzt nützlich und kann beispielsweise nicht zum Entschlüsseln von SSL / TLS-Verkehr oder zum Umkehren von Hash-Passwörtern in ihre Klartextäquivalente verwendet werden. Wenn Zertifizierungsstellen jedoch nicht darauf achten, die erforderliche Zufälligkeit hinzuzufügen, nachdem MD5 in ähnlicher Weise für eine Kollision beschädigt wurde, kann ein Angreifer möglicherweise ein gültiges Zertifikat in eine andere Identität und / oder Rechte ändern und dadurch Zertifikate und / oder Fälschungen fälschen oder Signaturen, und wenn sie auch MitM-Verkehr können, um sich als SSL / TLS-Server auszugeben.

Derzeit ist keine tatsächliche Unterbrechung mit SHA-1 und Verwendung einer strukturellen Schwäche von SHA-1 unter akademischen Bedingungen vollständig nachgewiesen worden, geschweige denn in freier Wildbahn.

Das Beste, was wir derzeit haben, ist ein theoretischer Kollisionsangriff, der es einem Angreifer ermöglichen sollte, eine SHA-1-Kollision mit Aufwand "ungefähr 2 61 sup>" zu berechnen, was riesig ist, aber immer noch wesentlich geringer als die 2 80 sup> Widerstand, der von einer "perfekten" Hash-Funktion mit 160-Bit-Ausgabe erwartet wird. Während 2 61 sup> in Reichweite der vorhandenen Technologie liegt, ist es selbst für reiche Universitäten zu teuer, sich dieser Art von Experimenten beiläufig hinzugeben. Es wurde also noch keine tatsächliche Kollision erzeugt. Darüber hinaus gewährt das Berechnen einer Kollision für einen praktischen Angreifer selten viel Leistung - der Angreifer muss normalerweise eine Kollision mit einem gewissen Maß an Kontrolle über den Inhalt der kollidierenden Nachrichten berechnen, was möglicherweise schwieriger ist ( oder nicht).

Ein weiterer Parameter ist, dass selbst wenn SHA-1 perfekt ist, seine Ausgabegröße (160 Bit) eine maximale Grenze für seine Kollisionsbeständigkeit bei etwa 2 sup> 80 sup> impliziert. Das ist eine halbe Million mal 2 61 (also ziemlich teuer), aber gleichzeitig nicht letztendlich teuer. Eine 2 ^{80 sup> -Berechnung kann mit vorhandenen Technologien und Ressourcen auf der Erde ins Auge gefasst werden, ohne dass einige Sci-Fi-Dinge aufgerufen werden müssen oder Gesetze der Physik verletzt werden müssen.}

Seit dem Umschalten von Algorithmen in bereitgestellten Anwendungen nimmt viel Zeit in Anspruch (hey, wir versuchen immer noch , die Leute dazu zu bringen, SSL 3.0 nicht mehr zu verwenden und stattdessen zu TLS 1.0 zu wechseln, mehr als 15 Jahre nachdem TLS 1.0 veröffentlicht wurde), sollten wir es besser machen es geht jetzt, so dass SHA-1 wirklich ausläuft, wenn sich die Technologie so weit verbessert hat, dass der Aufwand von 2 80 in der Praxis machbar geworden ist

Nach jüngsten Erkenntnissen ist die SHA-1-Kollision keine einfache Theorie mehr. Schauen Sie sich das Papier und die Website an. Wie im Slashdot-Beitrag

angegeben, haben Forscher niederländischer und singapurischer Universitäten einen ersten Angriff auf den SHA-1-Hashing-Algorithmus erfolgreich durchgeführt, indem sie eine Kollision am SHA1 gefunden haben Komprimierungsfunktion

Sie schätzen die SHA-1-Kollisionskosten zwischen 75.000 und 120.000 US-Dollar mit einigen Monaten Berechnung auf EC2. Es ist vielleicht Zeit für ein Update.

Ja, hier sind zwei verschiedene Dateien mit demselben SHA1-Hash: shattered-1.pdf und shattered-2.pdf

  $: ~ / Dokumente md5sum $ shattered- * ee4aa52b139d925f8d8884402b0a750c shattered-1.pdf5bd9d8cabc46041579a311230539b8d1 zerschmettert-2.pdf $: ~ / Documents $ sha1sum shattered- * 38762cf7f55934b34d179ae6a4c80cadccbb7f0a zerschmettert-1.pdf38762cf7f55934b34d179ae6a4c80cadccbb7f0a zerschmettert-2.pdf  

Dies ist 2017. Eine Kollision und ein Mittel zu ihrer Erzeugung ist jetzt verfügbar. Sie können zwei verschiedene PDFs mit demselben SHA1 herunterladen und sich selbst beweisen.

Apache SVN hat ein Problem, bei dem zwei Dateien mit demselben SHA1 Beschädigungen verursachen, heißt es in diesem Ars Technica-Artikel.