我的意思是,存在$ a的已知值$和$ b $,其中$ F(a)= F(b)$和$ a≠b $?
#1 楼
该答案现已过期,因为在2017年2月23日,发现SHA-1发生碰撞。请参阅什么对SHA-1“打碎”的新攻击以及它如何工作?总之,不。
那么,密码分析的当前状态是什么? SHA-1(仅供参考,因为此问题与SHA-2有关)和SHA-2?布鲁斯·施耐尔(Bruce Schneier)宣布SHA-1损坏。这是因为研究人员找到了一种在$ 2 ^ {69} $操作中破坏完整SHA-1的方法。远低于因生日悖论而要查找冲突的$ 2 ^ {80} $操作。
据我们所知,在整轮SHA-2哈希上最好的可用冲突攻击函数仍然是蛮力$ 2 ^ {n / 2} $(其中$ n $是输出的位长)。
评论
$ \ begingroup $
这就是为什么即使在Keccak被选为SHA3竞赛的获胜者之后,NIST仍然强调,它并不是要取代SHA-2。
$ \ endgroup $
–邱
13年7月23日在9:17
$ \ begingroup $
该答案现已过时,因为已发布SHA-1冲突。
$ \ endgroup $
–路易斯·卡西利亚斯(Luis Casillas)
17年2月23日在22:46
#2 楼
首先,下表应该可以很好地比较SHA算法及其在2013年的状态,当时我的拳头发布了以下答案:
[38]对SHA-1的理论攻击是指马克·史蒂文斯(Marc Stevens)和皮埃尔·卡普曼(Pierre Karpman)和托马斯·佩林(Thomas Peyrin)于2015年10月8日首次发布的“完整SHA-1的自由启动碰撞”(PDF)。
同时-在2017年-与SHA-1相关的情况变得更糟。如今,SHA-1发生了已知的冲突,图形也相应地进行了更改。
与SHA-1有关的安全和(同时),实际上,您可能还会对以下两个网站感兴趣:
Freestart Collisions(理论上,2015年)
网站: SHAppening:SHA-1的自由启动碰撞(由Ohad Cohen提及)
该网站包含Marc Stevens的SHA-1自由启动碰撞工作的最新新闻和背景信息。 (CWI,荷兰),Pierre Karpman(印度,法国和NTU新加坡)和Thomas Peyrin(NTU新加坡)。
您可以在此处找到我们技术文章的最新版本(当前正在提交中),并在此处找到相应的新闻发布。
…
和
完全碰撞(实用,2017年)
网站:SHA-1已崩溃。(Dave提到) L.)
…
现在实际上可以制作两个碰撞的PDF文件,并在第一个PDF文件上获得SHA-1数字签名,该文件可以也被滥用为第二个PDF文件上的有效签名。
…
此结果是Centrum Wiskunde&Informatica(Centrum Wiskunde&Informatica)密码学组之间长期合作的产物( CWI)-荷兰国家数学和计算机科学研究院-Google研究安全,隐私和反滥用小组。
…
TL; DR
上面实用的完整冲突说明了为什么您不再应该使用SHA-1。相反,请考虑使用更安全的替代方法……SHA-2或更新的SHA-3!
因此,回答您的问题:是的,在编写此代码时,SHA-1存在已知的冲突( 2017年2月)。但是目前尚无SHA-2(或SHA-3)的已知冲突。
评论
同时,发现了sha-1压缩功能的自由启动碰撞。看到这里。现在在shattered.it上已发布SHA1的碰撞
对SHA-1“ SHAttered”的新攻击是什么以及它如何起作用的可能重复项?
@kenorb只能回答部分问题。