Chiphell - 分享与交流用户体验

 找回密码
 加入我们
搜索
      
查看: 10291|回复: 27

[安全相关] SHA1首个碰撞发布

[复制链接]
发表于 2017-2-23 23:26 | 显示全部楼层 |阅读模式
本帖最后由 QuaintJade 于 2017-2-23 23:28 编辑

https://security.googleblog.com/ ... sha1-collision.html

由CWI与Google合作的团队于2017年2月23日发布了首个SHA-1的碰撞。

SHA-1是一种摘要算法,用来校验数据是否一致。常用的场景包括:
  • 文档签名
  • 网站证书
  • 版本控制
  • 网盘文件校验

公布的碰撞的复杂度为总计 9,223,372,036,854,775,808 次SHA1计算,分成第一阶段和第二阶段。第一阶段耗费6500年CPU计算,第二阶段耗费110年GPU计算。
作为对比,MD5碰撞在主流智能手机上只需30秒,SHA1 Shattered方法需要110个GPU花1年时间,SHA1暴力方法则需要12,000,000个GPU花1年时间。
尽管需要的计算资源非常巨大,但该方法已经比暴力碰撞快了100,000倍。

目前可供替代的算法包括SHA-2,SHA-3等。
SSL证书近两年已经开始逐步淘汰SHA-1算法,目前已经停止SHA-1算法新签发证书。

shattered-infographic.png

本次碰撞的结果是两个同样大小、同样SHA1哈希值的PDF文件。
https://shattered.io/
https://shattered.io/static/shattered-1.pdf
https://shattered.io/static/shattered-2.pdf

shattered.png

评分

2

查看全部评分

发表于 2017-2-23 23:35 | 显示全部楼层
MD5碰撞在主流智能手机上只需30秒————不太明白,意思是用MD5加密的东西,用智能手机的U半分钟就能破解了?
发表于 2017-2-23 23:46 | 显示全部楼层
lqtj88 发表于 2017-2-23 23:35
MD5碰撞在主流智能手机上只需30秒————不太明白,意思是用MD5加密的东西,用智能手机的U半分钟就能破解 ...

能搞出一个被MD5校检机制认为是相同的文件
应该还不至于把一个文件伪装成目标的MD5
发表于 2017-2-23 23:47 来自手机 | 显示全部楼层
卧槽这新闻太重磅了,还好目前主要用的是sha2家族和blake2家族,少数地方已经用了标准sha3家族
发表于 2017-2-24 00:03 来自手机 | 显示全部楼层
qingxin6174 发表于 2017-2-23 23:47
卧槽这新闻太重磅了,还好目前主要用的是sha2家族和blake2家族,少数地方已经用了标准sha3家族 ...

意味着sha-2.被破解指日可待,然后就可以制造比特币私有秘钥了
 楼主| 发表于 2017-2-24 00:40 | 显示全部楼层
lqtj88 发表于 2017-2-23 23:35
MD5碰撞在主流智能手机上只需30秒————不太明白,意思是用MD5加密的东西,用智能手机的U半分钟就能破解 ...

MD5不是加密,也不能破解。它是一种摘要算法,对应的攻击叫做碰撞。

碰撞又分classical碰撞和chosen-prefix碰撞,后者比前者困难得多。
 楼主| 发表于 2017-2-24 00:43 | 显示全部楼层
jianghaitao 发表于 2017-2-24 00:03
意味着sha-2.被破解指日可待,然后就可以制造比特币私有秘钥了

然而这个碰撞的复杂度是2^63,而王小云等人在2005年就提出了2^63理论上的攻击,也就是说从理论到实现经过了12年
发表于 2017-2-24 03:47 | 显示全部楼层
QuaintJade 发表于 2017-2-24 00:43
然而这个碰撞的复杂度是2^63,而王小云等人在2005年就提出了2^63理论上的攻击,也就是说从理论到实现经过 ...

我也记得这个报道

一个很厉害的女科学家  之前还认为这个不可能破解
 楼主| 发表于 2017-2-24 09:26 来自手机 | 显示全部楼层
喵尼玛 发表于 2017-2-24 03:47
我也记得这个报道

一个很厉害的女科学家  之前还认为这个不可能破解 ...

那次开会还因为美国签证被耽搁没法亲自到现场,委托了其他人代为发表。
发表于 2017-2-24 13:27 | 显示全部楼层
这只是理论上的破解,在实际运用中还没有操作的意义,急着弃用该算法的多虑了。
 楼主| 发表于 2017-2-24 13:47 | 显示全部楼层
CHIP你个HELL 发表于 2017-2-24 13:27
这只是理论上的破解,在实际运用中还没有操作的意义,急着弃用该算法的多虑了。 ...

这就是实际的破解。

Google想表达的意思是,我一个商业公司闲着没事都能烧钱搞碰撞,那么那些犯.罪.组.织或政.治.组.织基于利益目的完全也能办到。现在SHA-1碰撞的成本已经是现实可承受范围了。
发表于 2017-2-24 14:38 来自手机 | 显示全部楼层
业界已经转向SHA256了吧
发表于 2017-2-24 15:11 来自手机 | 显示全部楼层
CHIP你个HELL 发表于 2017-2-24 13:27
这只是理论上的破解,在实际运用中还没有操作的意义,急着弃用该算法的多虑了。 ...

这就是实际案例啊,何来的理论,现在md5主流计算机几秒钟就可以搞定了
发表于 2017-2-24 16:48 | 显示全部楼层
jianghaitao 发表于 2017-2-24 15:11
这就是实际案例啊,何来的理论,现在md5主流计算机几秒钟就可以搞定了

同时满足MD5和SHA1,还是蛮难的吧。
发表于 2017-2-24 17:15 | 显示全部楼层
lqtj88 发表于 2017-2-23 23:35
MD5碰撞在主流智能手机上只需30秒————不太明白,意思是用MD5加密的东西,用智能手机的U半分钟就能破解 ...

MD5是散列算法,不是加密算法。MD5主要用于文件校验、签名、密码储存。

智能手机的性能在30秒里可以找出一个MD5的碰撞,但找到碰撞不代表破解。
一个简单例子,你的手机在30秒内或许可以很快的找出一个和QQ.exe的MD5校验值一样的碰撞,但这个碰撞可能只是一个无意义的乱码文件,你很难用手机在30秒内把一个精心设计的病毒搞成与QQ.exe的MD5值一样。
发表于 2017-2-24 17:20 | 显示全部楼层
asdf_12346 发表于 2017-2-24 17:15
MD5是散列算法,不是加密算法。MD5主要用于文件校验、签名、密码储存。

智能手机的性能在30秒里可以找出 ...

哦,这就不懂了,只是看到很多地方宣称MD5加密,以为这个就是破解密码了。没那么容易被破解就好啊。
发表于 2017-2-24 17:20 | 显示全部楼层
CHIP你个HELL 发表于 2017-2-24 13:27
这只是理论上的破解,在实际运用中还没有操作的意义,急着弃用该算法的多虑了。 ...

google的这个有很大的意义。都已经可以构造出一个和给定pdf哈希值一样的其它pdf了,而且这个构造出来的pdf不仅可以正常打开,甚至内容也可以做到只换背景颜色。

这意味着只要拥有类似的计算能力,就可以构造一个病毒去伪冒正常程序,可以构造一个假证书伪冒真证书。而一切采用SHA1进行校验的安全措施对于这种攻击就像敞开了大门一样。
发表于 2017-2-24 17:25 | 显示全部楼层
本帖最后由 asdf_12346 于 2017-2-24 17:28 编辑
lqtj88 发表于 2017-2-24 17:20
哦,这就不懂了,只是看到很多地方宣称MD5加密,以为这个就是破解密码了。没那么容易被破解就好啊。 ...

只是说用手机30秒内不那么容易搞,但用更强的计算能力就可以实现选择前缀碰撞,一样威胁很大。好在许多需要签名的地方已经不再使用MD5了。

至于密码储存的问题,对于已经脱了的库,MD5的确已经很难再保护密码,但毕竟脱裤也不是那么容易的事情。
发表于 2017-2-24 17:30 | 显示全部楼层
asdf_12346 发表于 2017-2-24 17:25
只是说用手机30秒内不那么容易搞,但用更强的计算能力就可以实现选择前缀碰撞,一样威胁很大。好在许多需 ...

哦,看来还是密码复杂点,多改几次。反正几个涉及钱的网站看严点,其他无所谓啦
发表于 2017-2-24 18:27 来自手机 | 显示全部楼层
asdf_12346 发表于 2017-2-24 17:20
google的这个有很大的意义。都已经可以构造出一个和给定pdf哈希值一样的其它pdf了,而且这个构造出来的pdf ...

这才是正解,篡改你的文件你根本都没法察觉,校验都没用
发表于 2017-2-24 18:29 来自手机 | 显示全部楼层
betaload 发表于 2017-2-24 14:38
业界已经转向SHA256了吧

尽量选择速度更快的sha512,blake2b/blake2bp
发表于 2017-2-27 13:24 | 显示全部楼层
这个实际的破解只是可以有不同的数据制造出相同的摘要值,但你肉眼就能看出原数据已面目全非了,拿堆乱码说这你就是要的文档,MD5破解这么多年你现在照样可以用就是这个意思。而且摘要算法一般都是其它密码算法的辅助,说要做到对数据包稍作修改还要摘要一致,最后能解密出一个能欺骗你的数据,这个担心是没必要的。
 楼主| 发表于 2017-2-27 14:34 | 显示全部楼层
CHIP你个HELL 发表于 2017-2-27 13:24
这个实际的破解只是可以有不同的数据制造出相同的摘要值,但你肉眼就能看出原数据已面目全非了,拿堆乱码说 ...

如果是明文数据你当然一眼就可以看出差别,但很多文件类型都允许你在看不见的地方做手脚。

就比如说这次给的两个PDF,颜色差别是刻意强调区别的,如果愿意的话完全可以做成两个肉眼看完全相同、SHA1一致、大小一致的文件。
发表于 2017-2-27 16:03 | 显示全部楼层
本帖最后由 asdf_12346 于 2017-2-27 16:07 编辑
CHIP你个HELL 发表于 2017-2-27 13:24
这个实际的破解只是可以有不同的数据制造出相同的摘要值,但你肉眼就能看出原数据已面目全非了,拿堆乱码说 ...

你到底有没有看原文。。。? 要是你说的那种东西根本没必要拿出来说事。

谷歌这次之所以牛逼,是因为它可以把一个精心伪造的东西做成与给定目标相同的SHA1值。可不是什么一堆乱码。

谷歌做到了:针对一个给定的pdf,伪造一个SHA1哈希值相同的pdf,这个伪造的pdf不仅可以正常打开,而且内容也可以按照伪造者的意愿设置。

你要是不相信,可以自己下载试试看:
shattered-1.pdf
shattered-2.pdf
这两个PDF文档都是合法文档,可以用阅读器正常打开,内容相似,仅仅背景颜色不同。然后,他们的SHA1值被谷歌做成了相同的。
发表于 2017-2-27 17:40 | 显示全部楼层
本帖最后由 imQi 于 2017-2-27 17:46 编辑
lqtj88 发表于 2017-2-24 17:30
哦,看来还是密码复杂点,多改几次。反正几个涉及钱的网站看严点,其他无所谓啦 ...

错,是每个网站用独立的密码才安全
哪怕是
QQ用QQ+一串对你有特殊意义好记的数字(当然不能是1234、asdf、生日这种,太容易被字典包括了)微博用WB+同一串数字
这里用CHH+那串数字
都比复杂密码强
这种方法能防撞库攻击,复杂到自己记不住的密码对于攻击者来说就是尝试时间长短的问题只要你泄露一次密码就全完了


当然总修改密码是正确的
发表于 2017-3-1 21:25 | 显示全部楼层
QuaintJade 发表于 2017-2-24 00:43
然而这个碰撞的复杂度是2^63,而王小云等人在2005年就提出了2^63理论上的攻击,也就是说从理论到实现经过 ...

山东大学的数学家
发表于 2017-3-1 22:21 | 显示全部楼层
这新闻有价值。。。

只是这东西2017.2.23就发出来了。。。。
发表于 2017-3-2 05:53 | 显示全部楼层
第一阶段耗费6500年CPU计算,第二阶段耗费110年GPU计算。


这个算法应该是能并行的吧?感觉应该是,如果是的话,这个计算耗时还真不算多。。。
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

小黑屋|手机版|Archiver|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806

GMT+8, 2020-2-21 20:35 , Processed in 0.015506 second(s), 17 queries , Gzip On, Redis On.

Powered by Discuz! X3.1

© 2007-2019 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表