Сводка безопасности хеш-функции
В этой статье обобщены общеизвестные атаки на криптографические хеш-функции . Обратите внимание, что не все записи могут быть актуальными. Сводную информацию о других параметрах хеш-функции см. в разделе « Сравнение криптографических хэш-функций» .
Цвет таблицы [ править ]
Ни одна атака не была успешной — атака нарушает только сокращенную версию хеша или требует больше работы, чем заявленный уровень безопасности хеша.
Атака продемонстрирована теоретически — атака нарушает все этапы и имеет меньшую сложность, чем требование безопасности.
Атака продемонстрирована на практике — сложность достаточно низка, чтобы ее можно было использовать на практике.
Общие хеш-функции [ править ]
Устойчивость к столкновениям [ править ]
| Хэш-функция | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| MD5 | 2 64 | 2 18 время | 2013-03-25 | На обычном ПК эта атака занимает секунды. Двухблочные столкновения в 2 18 , одноблочные столкновения в 2 41 . [1] |
| ША-1 | 2 80 | 2 61.2 | 2020-01-08 | Статья Гаэтана Лерана и Томаса Пейрена [2] |
| SHA256 | 2 128 | 31 из 64 раундов (2 65.5 ) | 2013-05-28 | Столкновение двух блоков. [3] |
| SHA512 | 2 256 | 24 из 80 раундов (2 32.5 ) | 2008-11-25 | Бумага. [4] |
| ША-3 | До 2 512 | 6 из 24 раундов (2 50 ) | 2017 | Бумага. [5] |
| БЛЕЙК2с | 2 128 | 2,5 из 10 раундов (2 112 ) | 2009-05-26 | Бумага. [6] |
| БЛЕЙК2б | 2 256 | 2,5 из 12 раундов (2 224 ) | 2009-05-26 | Бумага. [6] |
Атака коллизией выбранного префикса [ править ]
| Хэш-функция | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| MD5 | 2 64 | 2 39 | 2009-06-16 | На обычном ПК эта атака занимает несколько часов. [7] |
| ША-1 | 2 80 | 2 63.4 | 2020-01-08 | Статья Гаэтана Лерана и Томаса Пейрена [2] |
| SHA256 | 2 128 | |||
| SHA512 | 2 256 | |||
| ША-3 | До 2 512 | |||
| БЛЕЙК2с | 2 128 | |||
| БЛЕЙК2б | 2 256 |
Сопротивление прообразу [ править ]
| Хэш-функция | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| MD5 | 2 128 | 2 123.4 | 2009-04-27 | Бумага. [8] |
| ША-1 | 2 160 | 45 из 80 раундов | 2008-08-17 | Бумага. [9] |
| SHA256 | 2 256 | 43 из 64 раундов (2 254.9 время, 2 6 память) | 2009-12-10 | Бумага. [10] |
| SHA512 | 2 512 | 46 из 80 патронов (2 511.5 время, 2 6 память) | 2008-11-25 | Бумага, [11] обновленная версия. [10] |
| ША-3 | До 2 512 | |||
| БЛЕЙК2с | 2 256 | 2,5 из 10 раундов (2 241 ) | 2009-05-26 | Бумага. [6] |
| БЛЕЙК2б | 2 512 | 2,5 из 12 раундов (2 481 ) | 2009-05-26 | Бумага. [6] |
Увеличение длины [ править ]
- Уязвимость: MD5, SHA1, SHA256, SHA512.
- Не уязвим: SHA384, SHA-3, BLAKE2.
Менее распространенные хеш-функции [ править ]
Устойчивость к столкновениям [ править ]
| Хэш-функция | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| ГОСТЬ | 2 128 | 2 105 | 2008-08-18 | Бумага. [12] |
| ДРУЗЬЯ -128 | 2 64 | 2 7 | 2004-08-17 | О столкновениях первоначально сообщалось в 2004 году. [13] за которым последовала статья по криптоанализу в 2005 году. [14] |
| MD2 | 2 64 | 2 63.3 время, 2 52 память | 2009 | Чуть менее вычислительно затратно, чем атака на день рождения. [15] но для практических целей требования к памяти делают его более дорогим. |
| MD4 | 2 64 | 3 операции | 2007-03-22 | Обнаружение коллизий почти так же быстро, как и их проверка. [16] |
| ПАНАМА | 2 128 | 2 6 | 2007-04-04 | Бумага, [17] улучшение более ранней теоретической атаки 2001 года. [18] |
| РИПЕМД (оригинал) | 2 64 | 2 18 время | 2004-08-17 | О столкновениях первоначально сообщалось в 2004 году. [13] за которым последовала статья по криптоанализу в 2005 году. [19] |
| Радио Гатун | До 2 608 [20] | 2 704 | 2008-12-04 | Для слова размера w от 1 до 64 бит хэш обеспечивает требование безопасности 2. 9,5 Вт . Атака может найти столкновение в 2 11 Вт время. [21] |
| РИПЕМД-160 | 2 80 | 48 из 80 патронов (2 51 время) | 2006 | Бумага. [22] |
| ША-0 | 2 80 | 2 33.6 время | 2008-02-11 | Столкновения двух блоков с использованием атаки бумеранга . На среднем ПК атака занимает примерно 1 час. [23] |
| Стрибог | 2 256 | 9,5 раундов по 12 (2 176 время, 2 128 память) | 2013-09-10 | Отскок атаки . [24] |
| джакузи | 2 256 | 4,5 из 10 раундов (2 120 время) | 2009-02-24 | Отскок атаки. [25] |
Сопротивление прообразу [ править ]
| Хэш-функция | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| ГОСТЬ | 2 256 | 2 192 | 2008-08-18 | Бумага. [12] |
| MD2 | 2 128 | 2 73 время, 2 73 память | 2008 | Бумага. [26] |
| MD4 | 2 128 | 2 102 время, 2 33 память | 2008-02-10 | Бумага. [27] |
| РИПЕМД (оригинал) | 2 128 | 35 из 48 раундов | 2011 | Бумага. [28] |
| РИПЕМД-128 | 2 128 | 35 из 64 раундов | ||
| РИПЕМД-160 | 2 160 | 31 из 80 раундов | ||
| Стрибог | 2 512 | 2 266 время, 2 259 данные | 2014-08-29 | В статье представлены две атаки на второй прообраз с переменными требованиями к данным. [29] |
| Тигр | 2 192 | 2 188.8 время, 2 8 память | 2010-12-06 | Бумага. [30] |
Атаки на хешированные пароли [ править ]
Описанные здесь хеши предназначены для быстрых вычислений и имеют примерно одинаковую скорость. [31] Поскольку большинство пользователей обычно выбирают короткие пароли, сформированные предсказуемым образом, пароли часто можно восстановить по их хешированному значению, если используется быстрый хэш. Скорость поиска порядка 100 миллиардов тестов в секунду возможна благодаря высокопроизводительным графическим процессорам . [32] [33] Специальные хеши, называемые функциями получения ключей, были созданы для замедления поиска методом перебора. К ним относятся pbkdf2 , bcrypt , scrypt , argon2 и ball .
См. также [ править ]
- Сравнение криптографических хэш-функций
- Криптографическая хэш-функция
- Столкновение атака
- Атака прообраза
- Атака с расширением длины
- Обзор безопасности шифрования
Ссылки [ править ]
- ^ Тао Се; Фаньбао Лю; Дэнго Фэн (25 марта 2013 г.) «Быстрая атака столкновением на MD5» .
{{cite journal}}: Для цитирования журнала требуется|journal=( помощь ) - ↑ Перейти обратно: Перейти обратно: а б Гаэтан Леран; Томас Пейрин (08 января 2020 г.). «SHA-1 — это хаос: первый конфликт выбранного префикса в SHA-1 и приложение к сети доверия PGP» (PDF) .
{{cite journal}}: Для цитирования журнала требуется|journal=( помощь ) - ^ Флориан Мендель; Томислав Над; Мартин Шлеффер (28 мая 2013 г.). Улучшение локальных коллизий: новые атаки на уменьшенный SHA-256 . Еврокрипт 2013.
- ^ Сомитра Кумар Санадхья; Палаш Саркар (25 ноября 2008 г.). Новые коллизионные атаки против 24-шагового SHA-2 . Indocrypt 2008. doi : 10.1007/978-3-540-89754-5_8 .
- ^ Л. Сун, Г. Ляо и Дж. Го, Неполная линеаризация Sbox: приложения для атак столкновений на Keccak с уменьшенным числом раундов, CRYPTO, 2017
- ↑ Перейти обратно: Перейти обратно: а б с д ЛИ Цзи; Сюй Лянъюй (26 мая 2009 г.). «Атаки на БЛЕЙКА с уменьшенным числом раундов» .
{{cite journal}}: Для цитирования журнала требуется|journal=( помощь ) - ^ Марк Стивенс; Арьен Ленстра; Бенне де Вегер (16 июня 2009 г.). «Коллизии выбранных префиксов для MD5 и приложений» (PDF) .
{{cite journal}}: Для цитирования журнала требуется|journal=( помощь ) - ^ Ю Сасаки; Кадзумаро Аоки (27 апреля 2009 г.). Поиск прообразов в полном MD5 быстрее, чем полный поиск . Еврокрипт 2009. doi : 10.1007/978-3-642-01001-9_8 .
- ^ Кристоф Де Каньер; Кристиан Рехбергер (17 августа 2008 г.). Прообразы для уменьшенных SHA-0 и SHA-1 . Крипто 2008.
- ↑ Перейти обратно: Перейти обратно: а б Кадзумаро Аоки; Цзяньго; Кристиан Матусевич; Ю Сасаки; Лэй Ван (10 декабря 2009 г.). Прообразы для пошагового SHA-2 . Asiacrypt 2009. doi : 10.1007/978-3-642-10366-7_34 .
- ^ Ю Сасаки; Лэй Ван; Кадзумаро Аоки (25 ноября 2008 г.). «Атаки прообразов на 41-шаговый SHA-256 и 46-шаговый SHA-512» .
{{cite journal}}: Для цитирования журнала требуется|journal=( помощь ) - ↑ Перейти обратно: Перейти обратно: а б Флориан Мендель; Норберт Прамсталлер; Кристиан Рехбергер; Марчин Контак; Януш Шмидт (18 августа 2008 г.). Криптоанализ хеш-функции ГОСТ . Крипто 2008.
- ↑ Перейти обратно: Перейти обратно: а б Сяоюнь Ван; Дэнго Фэн; Сюэцзя Лай; Хунбо Ю (17 августа 2004 г.). «Коллизии хэш-функций MD4, MD5, HAVAL-128 и RIPEMD» . Архив электронной печати по криптологии .
- ^ Сяоюнь Ван; Дэнго Фэн; Сююань Юй (октябрь 2005 г.). «Атака на хэш-функцию HAVAL-128» (PDF) . Наука в Китае. Серия F: Информационные науки . 48 (5): 545–556. CiteSeerX 10.1.1.506.9546 . дои : 10.1360/122004-107 . Архивировано из оригинала (PDF) 9 августа 2017 г. Проверено 23 октября 2014 г.
- ^ Ларс Р. Кнудсен; Джон Эрик Матиассен; Фредерик Мюллер; Сорен С. Томсен (январь 2010 г.). «Криптоанализ MD2» . Журнал криптологии . 23 (1): 72–90. дои : 10.1007/s00145-009-9054-1 . S2CID 2443076 .
- ^ Ю Сасаки; Юсуке Наито; Нобору Кунихиро; Кадзуо Ота (22 марта 2007 г.). «Улучшенные атаки столкновений на MD4 и MD5». IEICE Transactions по основам электроники, связи и информатики . Е90-А (1): 36–47. Бибкод : 2007IEITF..90...36S . дои : 10.1093/ietfec/e90-a.1.36 .
- ^ Джоан Дэмен; Жиль Ван Аш (4 апреля 2007 г.). Мгновенное создание столкновений в Панаме . ФСЕ 2007.
- ^ Винсент Реймен; Барт Ван Ромпей; Барт Пренил; Йоос Вандевалле (2001). Создание столкновений для ПАНАМЫ . ФСЕ 2001.
- ^ Сююань Юй (23 мая 2005 ) Сяоюнь Ван ; Дэнго Фэн ; г. .
- ^ RadioGatún — это семейство из 64 различных хэш-функций. Уровень безопасности и лучшая атака в таблице указаны для 64-битной версии. 32-битная версия RadioGatun имеет заявленный уровень безопасности 2. 304 и лучшая заявленная атака занимает 2 352 работа.
- ^ Томас Фур; Томас Пейрин (4 декабря 2008 г.). Криптоанализ РадиоГатун . ФСЕ 2009.
- ^ Флориан Мендель; Норберт Прамсталлер; Кристиан Рехбергер; Винсент Реймен (2006). О столкновительной стойкости RIPEMD-160 . ИСЦ 2006.
- ^ Стефан Мануэль; Томас Пейрин (11 февраля 2008 г.). Коллизии на SHA-0 за один час . ФСЕ 2008. doi : 10.1007/978-3-540-71039-4_2 .
- ^ Цзунъюэ Ван; Хунбо Ю; Сяоюнь Ван (10 сентября 2013 г.). «Криптоанализ хеш-функции ГОСТ Р» . Письма об обработке информации . 114 (12): 655–662. дои : 10.1016/j.ipl.2014.07.007 .
- ^ Флориан Мендель; Кристиан Рехбергер; Мартин Шлеффер; Сорен С. Томсен (24 февраля 2009 г.). Отскок атаки: криптоанализ уменьшенного водоворота и Грёстла (PDF) . ФСЕ 2009.
- ^ Сорен С. Томсен (2008). «Улучшенная атака на прообраз на MD2» . Архив электронной печати по криптологии .
- ^ Гаэтан Леран (10 февраля 2008 г.). MD4 не является односторонним (PDF) . ФСЕ 2008.
- ^ Чиаки Отахара; Ю Сасаки; Такеши Симояма (2011). Атаки на прообразы RIPEMD-128 и RIPEMD-160 со ступенчатым сокращением . ISC 2011. doi : 10.1007/978-3-642-21518-6_13 .
- ^ Цзянь Го; Жереми Жан; Гаэтан Леран; Томас Пейрин; Лэй Ван (29 августа 2014 г.). Использование Counter Revisited: атака вторым прообразом на новую российскую стандартизированную хэш-функцию . САК 2014.
- ^ Цзянь Го; Сан Линг; Кристиан Рехбергер; Хуасюн Ван (06 декабря 2010 г.). Продвинутые атаки «встреча посередине»: первые результаты на Full Tiger и улучшенные результаты на MD4 и SHA-2 . Asiacrypt 2010. стр. 12–17.
- ^ «Бенчмаркинг криптографических хэшей ECRYPT» . Проверено 23 ноября 2020 г.
- ^ «Умопомрачительная производительность графического процессора» . Импросек. 3 января 2020 г.
- ^ Гудин, Дэн (10 декабря 2012 г.). «Кластер из 25 графических процессоров взламывает любой стандартный пароль Windows менее чем за 6 часов» . Арс Техника . Проверено 23 ноября 2020 г.
Внешние ссылки [ править ]
- Сводка атак на Tiger, MD4 и SHA-2 за 2010 год: Цзянь Го; Сан Линг; Кристиан Рехбергер; Хуасюн Ван (06 декабря 2010 г.). Продвинутые атаки «встреча посередине»: первые результаты на Full Tiger и улучшенные результаты на MD4 и SHA-2 . Азиякрипт 2010. с. 3.
