什么是“自由启动碰撞”？

#1 楼

定义
在用于哈希函数的Damgard-Merkle构造中，压缩函数将作为输入：

消息块和
链接值。

对于第一个块没有先前的“链接值”。而是给出了一个称为初始化向量（IV）的特定值。
自由启动冲突是攻击者可以选择IV的冲突。
特别是在他们的论文中（表2-1，第3页） ），作者发现两个略有不同的IV（只有两个位不同）：

$ IV_1：$ 50 6b 01 78 ff 6d 18 90 20 22 91 fd 3a de 38 71 b2 c6 65 ea
$ IV_2：$ 50 6b 01 78 ff 6d 18 91 a0 22 91 fd 3a de 38 71 b2 c6 65 ea

他们的攻击是他们的第一次攻击，正如他们在工作中所声称的那样破坏了SHA-1压缩功能的整个80轮。
效果
即使自由启动碰撞没有立即产生标准碰撞，也可以将其用于多块碰撞搜索。链接值的确是前一个块的压缩函数输出。
（或者至少对我而言）不清楚从自由启动碰撞到标准碰撞的路径有多容易。
例如：MD5用了8年的时间。 MD5的第一个自由启动碰撞是在1996年发现的（Dobbertin，Eurocrypt Rump Session），而MD5的第一个标准碰撞直到2004年才发布。
在散列函数中发现自由启动冲突并不能完全破坏该函数，但存在很大的缺陷。通过自由启动碰撞，研究人员展示了两个碰撞信息的后半部分。可以说我们现在知道导致碰撞的路径，但是我们还不知道它从哪里开始。
要研究的最后一步是找出一个块消息$ m_0 $，其中$ SHA $-$ 1（m_0）$等于自由启动IV。
找到这样的消息后，将提供冲突。必须说，找出被散列为给定值的消息是不可行的（对于损坏的MD5散列函数来说，这仍然是一个难题）。
UPDATE：已发现完全冲突：https：// /shattered.it/