Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

В этой статье обобщены широко известные атаки на криптографические хеш-функции . Обратите внимание, что не все записи могут быть актуальными. Обзор других параметров хэш-функции см. В разделе Сравнение криптографических хеш-функций .

Цветовой ключ таблицы [ править ]

См. Также: Уровень безопасности
  Атака не продемонстрирована успешно - атака ломает только сокращенную версию хэша или требует больше работы, чем заявленный уровень безопасности хэша
  Атака продемонстрирована теоретически - атака прерывается во всех раундах и имеет меньшую сложность, чем требование безопасности
  Атака продемонстрирована на практике - сложность достаточно мала, чтобы ее можно было использовать

Общие хэш-функции [ править ]

Сопротивление столкновению [ править ]

Основная статья: Коллизионная атака
Хеш-функцияТребование обеспеченияЛучшая атакаДата публикацииКомментарий
MD52 642 18 раз2013-03-25Эта атака занимает секунды на обычном ПК. Двухблочные коллизии в 2 18 , моноблочные коллизии в 2 41 . [1]
SHA-12 802 61,22020-01-08Статья Гаэтана Леурента и Томаса Пейрина [2]
SHA2562 12831 из 64 патронов (2 65,5 )2013-05-28Двухблочная коллизия. [3]
SHA5122 25624 из 80 патронов (2 32,5 )2008-11-25Бумага. [4]
SHA-3До 2 5126 из 24 туров (2 50 )2017 г.Бумага. [5]
BLAKE2s2 1282.5 из 10 туров ( 2112 )2009-05-26Бумага. [6]
BLAKE2b2 2562.5 из 12 туров ( 2224 )2009-05-26Бумага. [6]

Выбранный префикс атаки столкновения [ править ]

Хеш-функцияТребование обеспеченияЛучшая атакаДата публикацииКомментарий
MD52 642 392009-06-16Эта атака на обычном ПК занимает несколько часов. [7]
SHA-12 802 63,42020-01-08Статья Гаэтана Леурента и Томаса Пейрина [2]
SHA2562 128
SHA5122 256
SHA-3До 2 512
BLAKE2s2 128
BLAKE2b2 256

Сопротивление прообразу [ править ]

Основная статья: Атака на прообраз
Хеш-функцияТребование обеспеченияЛучшая атакаДата публикацииКомментарий
MD52 1282 123,42009-04-27Бумага. [8]
SHA-12 16045 из 80 раундов2008-08-17Бумага. [9]
SHA2562 25643 из 64 патронов (2 254,9 раз, 2 6 запоминаний)2009-12-10Бумага. [10]
SHA5122 51246 из 80 патронов (2 511,5 раз, 2 6 запоминаний)2008-11-25Бумага, [11] обновленная версия. [10]
SHA-3До 2 512
BLAKE2s2 2562.5 из 10 раундов (2 241 )2009-05-26Бумага. [6]
BLAKE2b2 2562.5 из 12 туров ( 2481 )2009-05-26Бумага. [6]

Увеличение длины [ править ]

Основная статья: Атака удлинения
  • Уязвимы: MD5, SHA1, SHA256, SHA512
  • Не уязвимы: SHA384, SHA-3, BLAKE2

Менее распространенные хэш-функции [ править ]

Сопротивление столкновению [ править ]

Хеш-функцияТребование обеспеченияЛучшая атакаДата публикацииКомментарий
ГОСТ2 1282 1052008-08-18Бумага. [12]
HAVAL -1282 642 72004-08-17Столкновения первоначально сообщались в 2004 году [13], а затем в 2005 году была опубликована статья о криптоанализе [14].
MD22 642 63,3 раза, 2 52 памяти2009 г.Немного менее затратная с точки зрения вычислений, чем атака в день рождения [15], но с практической точки зрения требования к памяти делают ее более дорогой.
MD42 643 операции2007-03-22Обнаружение столкновений почти так же быстро, как и их проверка. [16]
ПАНАМА2 1282 62007-04-04Бумага, [17] усовершенствование более ранней теоретической атаки 2001 года. [18]
RIPEMD (оригинал)2 642 18 раз2004-08-17Столкновения первоначально сообщались в 2004 году [13], а затем в 2005 году была опубликована статья о криптоанализе [19].
RadioGatúnДо 2 608 [20]2 7042008-12-04Для слова размером w от 1 до 64 бит хэш обеспечивает требование безопасности 2 9,5 w . Атака может обнаружить столкновение за 2 11 часов времени. [21]
РИПЭМД-1602 8048 из 80 туров (2 51 раз)2006 г.Бумага. [22]
SHA-02 802 33,6 раза2008-02-11Двухблочные столкновения с использованием атаки бумерангом . На среднем ПК атака длится примерно 1 час. [23]
Стрибог2 2569,5 раундов из 12 ( 2176 раз, 2128 памяти)2013-09-10Отскок атаки . [24]
Водоворот2 2564.5 из 10 раундов ( время 2120 )2009-02-24Отскок атаки. [25]

Сопротивление прообразу [ править ]

Хеш-функцияТребование обеспеченияЛучшая атакаДата публикацииКомментарий
ГОСТ2 2562 1922008-08-18Бумага. [12]
MD22 1282 73 раз, 2 73 памяти2008 г.Бумага. [26]
MD42 1282 102 раз, 2 33 памяти2008-02-10Бумага. [27]
RIPEMD (оригинал)2 12835 из 48 раундов2011 г.Бумага. [28]
РИПЭМД-1282 12835 из 64 раундов
РИПЭМД-1602 16031 из 80 туров
Стрибог2 5122 266 раз, 2 259 данных2014-08-29В статье представлены две атаки со вторым прообразом с требованиями к переменным данным. [29]
Тигр2 1922 188,8 время, 2 8 памяти2010-12-06Бумага. [30]

Атаки на хешированные пароли [ править ]

Основная статья: Взлом пароля

Описанные здесь хэши предназначены для быстрых вычислений и имеют примерно одинаковую скорость. [31] Поскольку большинство пользователей обычно выбирают короткие пароли, сформированные предсказуемым образом, пароли часто можно восстановить из их хешированных значений, если используется быстрый хеш. Поиски порядка 100 миллиардов тестов в секунду возможны с помощью высокопроизводительных графических процессоров . [32] [33] Специальные хэши, называемые функциями деривации ключей , были созданы для замедления поиска методом грубой силы. К ним относятся pbkdf2 , bcrypt , scrypt , argon2 и баллон .

См. Также [ править ]

  • Сравнение криптографических хеш-функций
  • Криптографическая хеш-функция
  • Атака столкновения
  • Атака на прообраз
  • Атака удлинения длины
  • Сводка по безопасности шифрования

Ссылки [ править ]

  1. ^ Тао Се; Фанбао Лю; Дэнго Фэн (25 марта 2013 г.). «Быстрая коллизионная атака на MD5» . Цитировать журнал требует |journal=( помощь )
  2. ^ a b Гаэтан Леурент; Томас Пейрин (2020-01-08). «SHA-1 - это беспорядок: конфликт первого выбранного префикса на SHA-1 и приложение к сети доверия PGP» (PDF) . Цитировать журнал требует |journal=( помощь )
  3. ^ Флориан Мендель; Томислав Над; Мартин Шлеффер (28 мая 2013 г.). Улучшение локальных коллизий: новые атаки на уменьшенный SHA-256 . Еврокрипт 2013.
  4. ^ Сомитра Кумар Санадхья; Палаш Саркар (25 ноября 2008 г.). Новые коллизионные атаки против 24-шагового SHA-2 . Indocrypt 2008. DOI : 10.1007 / 978-3-540-89754-5_8 .
  5. ^ Л. Сонг, Г. Ляо и Дж. Го, Неполная линеаризация Sbox: приложения к атакам на коллизию на Keccak с сокращенным циклом, CRYPTO, 2017
  6. ^ а б в г LI Ji; Сюй Лянъюй (26.05.2009). «Атаки на БЛЕЙК с уменьшенным раундом» . Цитировать журнал требует |journal=( помощь )
  7. ^ Марк Стивенс; Арьен Ленстра; Бенн де Вегер (16.06.2009). «Конфликты с выбранным префиксом для MD5 и приложений» (PDF) . Цитировать журнал требует |journal=( помощь )
  8. ^ Ю Сасаки; Казумаро Аоки (27 апреля 2009 г.). Поиск прообразов в полном MD5 быстрее, чем исчерпывающий поиск . Eurocrypt 2009. DOI : 10.1007 / 978-3-642-01001-9_8 .
  9. ^ Кристоф де Канньер; Кристиан Рехбергер (17 августа 2008 г.). Прообразы для сокращенных SHA-0 и SHA-1 . Крипто 2008.
  10. ^ a b Казумаро Аоки; Цзянь Го; Кристиан Матусевич; Ю Сасаки; Лэй Ван (2009-12-10). Прообразы для SHA-2 с уменьшенным шагом . Asiacrypt 2009. DOI : 10.1007 / 978-3-642-10366-7_34 .
  11. ^ Ю Сасаки; Лэй Ван; Казумаро Аоки (25 ноября 2008 г.). «Атаки на прообраз на 41-шаговом SHA-256 и 46-шаговом SHA-512» . Цитировать журнал требует |journal=( помощь )
  12. ^ a b Флориан Мендель; Норберт Прамсталлер; Кристиан Рехбергер; Марчин Контактак; Януш Шмидт (18.08.2008). Криптоанализ хеш-функции ГОСТ . Крипто 2008.
  13. ^ а б Сяоюнь Ван; Дэнго Фэн; Сюэцзя Лай; Хунбо Ю (2004-08-17). «Коллизии для хеш-функций MD4, MD5, HAVAL-128 и RIPEMD» . Цитировать журнал требует |journal=( помощь )
  14. ^ Сяоюнь Ван; Дэнго Фэн; Сююань Юй (октябрь 2005 г.). «Атака на хеш-функцию HAVAL-128» (PDF) . Наука в Китае. Серия F: Информационные науки . 48 (5): 545–556. CiteSeerX 10.1.1.506.9546 . DOI : 10.1360 / 122004-107 . Архивировано из оригинального (PDF) 09.08.2017 . Проверено 23 октября 2014 .  
  15. ^ Ларс Р. Кнудсен; Джон Эрик Матиассен; Фредерик Мюллер; Сорен С. Томсен (январь 2010 г.). «Криптоанализ MD2». Журнал криптологии . 23 (1): 72–90. DOI : 10.1007 / s00145-009-9054-1 . S2CID 2443076 . 
  16. ^ Ю Сасаки; Юсуке Наито; Нобору Кунихиро; Казуо Охта (22 марта 2007 г.). «Улучшенные коллизионные атаки на MD4 и MD5». Сделки IEICE по основам электроники, связи и компьютерных наук . E90-A (1): 36–47. Bibcode : 2007IEITF..90 ... 36S . DOI : 10.1093 / ietfec / E90-a.1.36 .
  17. Joan Daemen; Жиль Ван Аше (4 апреля 2007 г.). Мгновенное создание столкновений для Панамы . FSE 2007.
  18. ^ Винсент Риджмен; Барт Ван Ромпей; Барт Пренил; Джоос Вандевалле (2001). Создание коллизий для PANAMA . FSE 2001.
  19. ^ Сяоюнь Ван; Сюэцзя Лай; Дэнго Фэн; Хуэй Чен; Сююань Юй (23.05.2005). Криптоанализ хеш-функций MD4 и RIPEMD . Eurocrypt 2005 DOI : 10.1007 / 11426639_1 .
  20. ^ RadioGatún - это семейство из 64 различных хеш-функций. Уровень безопасности и лучшая атака в таблице относятся к 64-битной версии. 32-битная версия RadioGatún имеет заявленный уровень безопасности 2 304, а наиболее заявленная атака требует 2 352 работы.
  21. ^ Томас Фур; Томас Пейрин (4 декабря 2008 г.). Криптоанализ RadioGatun . FSE 2009.
  22. ^ Флориан Мендель; Норберт Прамсталлер; Кристиан Рехбергер; Винсент Реймен (2006). О столкновительной стойкости РИПЭМД-160 . ISC 2006.
  23. ^ Стефан Мануэль; Томас Пейрин (11 февраля 2008 г.). Коллизии на SHA-0 за один час . FSE 2008. DOI : 10.1007 / 978-3-540-71039-4_2 .
  24. ^ Цзунъюэ Ван; Хунбо Ю; Сяоюнь Ван (10.09.2013). «Криптоанализ хэш-функции ГОСТ Р» . Письма об обработке информации . 114 (12): 655–662. DOI : 10.1016 / j.ipl.2014.07.007 .
  25. ^ Флориан Мендель; Кристиан Рехбергер; Мартин Шлеффер; Сорен С. Томсен (24 февраля 2009 г.). Rebound Attack: криптоанализ уменьшенного водоворота и Грёстля (PDF) . FSE 2009.
  26. ^ Сорен С. Томсен (2008). «Улучшенная атака прообраза на MD2» . Цитировать журнал требует |journal=( помощь )
  27. ↑ Gaëtan Leurent ( 10 февраля 2008 г.). MD4 не односторонний (PDF) . FSE 2008.
  28. ^ Чиаки Охтахара; Ю Сасаки; Такеши Симояма (2011). Атаки на прообразы на RIPEMD-128 и RIPEMD-160 с уменьшенным шагом . ISC 2011. DOI : 10.1007 / 978-3-642-21518-6_13 .
  29. ^ Цзянь Го; Жереми Жан; Гаэтан Леурент; Томас Пейрин; Лэй Ван (2014-08-29). Возвращение к использованию счетчика: атака второго прообраза на новую российскую стандартизованную хеш-функцию . SAC 2014.
  30. ^ Цзянь Го; Сан Линг; Кристиан Рехбергер; Хуасюн Ван (06.12.2010). Усовершенствованные атаки на прообразы встречи-посередине: первые результаты на Full Tiger и улучшенные результаты на MD4 и SHA-2 . Asiacrypt 2010. С. 12–17.
  31. ^ «ECRYPT Benchmarking of Cryptographic Hashes» . Проверено 23 ноября 2020 года .
  32. ^ «Потрясающая производительность графического процессора» . Improsec. 3 января 2020 г.
  33. ^ Гудин, Дэн (2012-12-10). «Кластер на 25 GPU взламывает каждый стандартный пароль Windows менее чем за 6 часов» . Ars Technica . Проверено 23 ноября 2020 .

Внешние ссылки [ править ]

  • Обзор атак на Tiger, MD4 и SHA-2 за 2010 год: Цзянь Го; Сан Линг; Кристиан Рехбергер; Хуасюн Ван (06.12.2010). Усовершенствованные атаки на прообразы встречи-посередине: первые результаты на Full Tiger и улучшенные результаты на MD4 и SHA-2 . Asiacrypt 2010. стр. 3.