论文2019/459

从碰撞到选择-前缀碰撞-应用于完整SHA-1

加丹·勒伦特和托马斯·佩林

摘要

chosen-prefix碰撞攻击是碰撞攻击的一种更强大的变体，其中任意一对质询前缀被转换为碰撞。选择前缀冲突通常比（相同前缀）冲突更难产生，但这种攻击的实际影响要大得多。虽然许多密码构造依赖于抗冲突性来进行安全证明，但冲突攻击很难转化为对具体协议的破坏，因为对手对冲突消息的控制有限。另一方面，已证明chosen-prefix冲突会破坏证书（通过创建恶意CA）和许多互联网协议（TLS、SSH、IPsec）。在本文中，我们提出了将碰撞攻击转化为选择前缀碰撞攻击的新技术。我们的策略由两个阶段组成：首先，生日搜索旨在将随机链接变量差异（由于chosen-prefix模型）转化为一组预定义的目标差异。然后，使用多块方法，仔细分析聚类效应，我们使用为碰撞攻击开发的技术，将这种新的链接变量差异映射到一对碰撞状态。我们将这些技术应用于MD5和SHA1，并获得改进的攻击。特别是，我们有一个针对SHA1的chosen-prefix碰撞攻击，其复杂性介于$2^{66.9}$和$2^}69.4}$之间（取决于关于查找近碰撞块的成本的假设），而最著名的攻击的复杂性为$2^{77.1}$。这与SHA1上的经典碰撞攻击的复杂性相比只是一小部分（估计为$2^{64.7}$）。这是另一个警告，即行业和用户必须尽快放弃使用SHA1。