Резюме безопасности хэш-функции

Общеизвестные атаки на криптографические хеш-функции

В этой статье обобщены публично известные атаки на криптографические хэш-функции . Обратите внимание, что не все записи могут быть актуальными. Для получения сводки других параметров хэш-функций см. сравнение криптографических хэш-функций .

Цветовой ключ таблицы

  Ни одна атака не была успешно продемонстрирована — атака взламывает только сокращенную версию хеша или требует больше работы, чем заявленный уровень безопасности хеша.

  Атака продемонстрирована в теории — атака нарушает все раунды и имеет меньшую сложность, чем утверждается в безопасности

  Атака продемонстрирована на практике — сложность достаточно низкая, чтобы ее можно было использовать на практике

Общие хэш-функции

Устойчивость к столкновениям

Атака на столкновение выбранного префикса

Сопротивление прообразу

Увеличение длины

• Уязвимо: MD5, SHA1, SHA256, SHA512
• Неуязвимы: SHA384, SHA-3, BLAKE2

Менее распространённые хэш-функции

Устойчивость к столкновениям

Сопротивление прообразу

Атаки на хешированные пароли

Описанные здесь хэши предназначены для быстрых вычислений и имеют примерно схожие скорости. ^[31] Поскольку большинство пользователей обычно выбирают короткие пароли, сформированные предсказуемыми способами, пароли часто можно восстановить из их хэшированного значения, если использовать быстрый хэш. Поиск порядка 100 миллиардов тестов в секунду возможен с помощью высокопроизводительных графических процессоров . ^{[32] [33]} Для замедления поиска методом перебора были созданы специальные хэши, называемые функциями вывода ключей . К ним относятся pbkdf2 , bcrypt , scrypt , argon2 и balloon .

Смотрите также

• Сравнение криптографических хеш-функций
• Криптографическая хэш-функция
• Атака столкновением
• Атака прообраза
• Атака на удлинение длины
• Резюме по безопасности шифра

Ссылки

1. Тао Се; Фаньбао Лю; Дэнго Фэн (25 марта 2013 г.). «Быстрая атака столкновением на MD5». {{cite journal}}: Цитировать журнал требует |journal=( помощь )
2. Гаэтан Лёрент; Томас Пейрен (2020-01-08). «SHA-1 — это хаос: столкновение первого выбранного префикса в SHA-1 и его применение в сети доверия PGP» (PDF) . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
3. Флориан Мендель; Томислав Над; Мартин Шлеффер (28.05.2013). Улучшение локальных коллизий: новые атаки на сокращенный SHA-256. Eurocrypt 2013.
4. Сомитра Кумар Санадхья; Палаш Саркар (2008-11-25). Новые атаки с коллизиями против SHA-2 длиной до 24 шагов . Indocrypt 2008. doi :10.1007/978-3-540-89754-5_8.
5. Л. Сонг, Г. Ляо и Дж. Го, Неполная линеаризация Sbox: применение к атакам коллизий на Keccak с уменьшенным количеством раундов, CRYPTO, 2017
6. ЛИ Цзи; Сюй Лянъюй (2009-05-26). «Атаки на BLAKE с уменьшенным количеством раундов». {{cite journal}}: Цитировать журнал требует |journal=( помощь )
7. Марк Стивенс; Арьен Ленстра; Бенне де Вегер (16 июня 2009 г.). «Коллизии выбранных префиксов для MD5 и приложений» (PDF) . {{cite journal}}: Цитировать журнал требует |journal=( помощь )
8. Ю Сасаки; Казумаро Аоки (2009-04-27). Поиск прообразов в полном MD5 быстрее, чем исчерпывающий поиск . Eurocrypt 2009. doi : 10.1007/978-3-642-01001-9_8 .
9. Кристоф Де Канньер; Кристиан Рехбергер (2008-08-17). Прообразы для редуцированных SHA-0 и SHA-1. Crypto 2008.
10. Kazumaro Aoki; Jian Guo; Krystian Matusiewicz; Yu Sasaki; Lei Wang (2009-12-10). Прообразы для Step-Reduced SHA-2 . Asiacrypt 2009. doi : 10.1007/978-3-642-10366-7_34 .
11. Ю Сасаки; Лей Ван; Казумаро Аоки (2008-11-25). «Атаки прообразов на 41-шаговый SHA-256 и 46-шаговый SHA-512». {{cite journal}}: Цитировать журнал требует |journal=( помощь )
12. Флориан Мендель; Норберт Прамсталлер; Кристиан Рехбергер; Марчин Контак; Януш Шмидт (18 августа 2008 г.). Криптоанализ хеш-функции ГОСТ. Крипто 2008.
13. Xiaoyun Wang; Dengguo Feng; Xuejia Lai; Hongbo Yu (2004-08-17). "Коллизии для хэш-функций MD4, MD5, HAVAL-128 и RIPEMD". Архив Cryptology ePrint .
14. Сяоюнь Ван; Дэнго Фэн; Сююань Юй (октябрь 2005 г.). «Атака на хеш-функцию HAVAL-128» (PDF) . Наука в Китае. Серия F: Информационные науки . 48 (5): 545–556. CiteSeerX 10.1.1.506.9546 . дои : 10.1360/122004-107. Архивировано из оригинала (PDF) 9 августа 2017 г. Проверено 23 октября 2014 г. 
15. Ларс Р. Кнудсен; Джон Эрик Матиассен; Фредерик Мюллер; Сорен С. Томсен (январь 2010 г.). «Криптоанализ MD2». Журнал криптологии . 23 (1): 72–90. дои : 10.1007/s00145-009-9054-1 . S2CID  2443076.
16. Ю Сасаки; Юсуке Наито; Нобору Кунихиро; Кадзуо Ота (22 марта 2007 г.). «Улучшенные атаки столкновений на MD4 и MD5». IEICE Transactions по основам электроники, связи и информатики . Е90-А (1): 36–47. Бибкод : 2007IEITF..90...36S. doi : 10.1093/ietfec/e90-a.1.36.
17. Джоан Дэмен; Жиль Ван Аш (4 апреля 2007 г.). Мгновенное создание столкновений в Панаме. ФСЕ 2007.
18. Винсент Реймен; Барт Ван Ромпей; Барт Пренил; Йоос Вандевалле (2001). Создание столкновений для ПАНАМЫ. ФСЕ 2001.
19. Сяоюнь Ван; Сюэцзя Лай; Дэнго Фэн; Хуэй Чен; Сююань Юй (23 мая 2005 г.). Криптоанализ хэш-функций MD4 и RIPEMD . Еврокрипт 2005. doi : 10.1007/11426639_1 .
20. RadioGatún — это семейство из 64 различных хэш-функций. Уровень безопасности и лучшая атака в таблице указаны для 64-битной версии. 32-битная версия RadioGatún имеет заявленный уровень безопасности 2 ³⁰⁴ , а лучшая заявленная атака требует 2 ³⁵² работы.
21. Томас Фур; Томас Пейрин (4 декабря 2008 г.). Криптоанализ РадиоГатун. ФСЕ 2009.
22. Флориан Мендель; Норберт Прамсталлер; Кристиан Рехбергер; Винсент Реймен (2006). О сопротивлении столкновению RIPEMD-160. ISC 2006.
23. Стефан Мануэль; Томас Пейрен (2008-02-11). Столкновения на SHA-0 за один час . FSE 2008. doi : 10.1007/978-3-540-71039-4_2 .
24. Zongyue Wang; Hongbo Yu; Xiaoyun Wang (2013-09-10). «Криптоанализ хэш-функции ГОСТ Р». Information Processing Letters . 114 (12): 655–662. doi :10.1016/j.ipl.2014.07.007.
25. Флориан Мендель; Кристиан Рехбергер; Мартин Шлеффер; Сорен С. Томсен (24 февраля 2009 г.). Отскок атаки: криптоанализ уменьшенного водоворота и Грёстла (PDF) . ФСЕ 2009.
26. Сёрен С. Томсен (2008). «Улучшенная атака на прообраз MD2». Архив Cryptology ePrint .
27. Гаэтан Леран (10 февраля 2008 г.). MD4 не является односторонним (PDF) . ФСЕ 2008.
28. Тиаки Отахара; Ю Сасаки; Такеши Шимояма (2011). Атаки прообраза на RIPEMD-128 и RIPEMD-160 с уменьшенным шагом . ISC 2011. doi :10.1007/978-3-642-21518-6_13.
29. Цзянь Го; Жереми Жан; Гаэтан Лёрен; Томас Пейрен; Лей Ван (2014-08-29). Повторное использование счетчика: атака второго прообраза на новую русскую стандартизированную хэш-функцию. SAC 2014.
30. Цзянь Го; Сань Лин; Кристиан Рехбергер; Хуасюн Ван (2010-12-06). Расширенные атаки на прообраз Meet-in-the-Middle: первые результаты на Full Tiger и улучшенные результаты на MD4 и SHA-2. Asiacrypt 2010. стр. 12–17.
31. "ECRYPT Benchmarking of Cryptographic Hashes" . Получено 23 ноября 2020 г. .
32. "Потрясающая производительность графического процессора". Improsec. 3 января 2020 г.
33. Гудин, Дэн (10.12.2012). «Кластер из 25 графических процессоров взламывает все стандартные пароли Windows менее чем за 6 часов». Ars Technica . Получено 23.11.2020 .

Внешние ссылки

• Обзор атак на Tiger, MD4 и SHA-2 за 2010 год: Цзянь Го; Сань Лин; Кристиан Рехбергер; Хуасюн Ван (06.12.2010). Расширенные атаки Meet-in-the-Middle Preimage: первые результаты на Full Tiger и улучшенные результаты на MD4 и SHA-2. Asiacrypt 2010. стр. 3.