SHA1 已被破坏：使用选定的前缀冲突可以成功破坏PGP 信任网络

各位老铁们，大家好，今天由我来为大家分享SHA1 已被破坏：使用选定的前缀冲突可以成功破坏PGP 信任网络，以及的相关问题知识，希望对大家有所帮助。如果可以帮助到大家，还望关注收藏下本站，您的支持是我们最大的动力，谢谢大家了哈，下面我们开始吧！

我们都知道针对SHA-1 的碰撞攻击。谷歌团队在2017年公布了操作冲突生成技术，并证明了攻击方法。不过，该攻击依赖于谷歌的大规模计算集群，并不具有普遍性。时间和成本都很大。

此次，Gatan Leurent和Thomas Peyrin领导的研究使用SHA-1来选择前缀冲突，大大提高了SHA-1攻击效率，加速因子提高了约10倍。使用GTX 970 GPU计算的研究条件下的碰撞攻击成本从2^64.7降低到26^1.2，所选前缀碰撞攻击的成本从2^67.1降低到2^63.4。

经过改进，实现了全选择前缀碰撞攻击。这种攻击技术性很强，涉及很多细节、各个步骤，需要大量的工程工作。为了节省成本并以较小的学术预算进行计算，他们从GPU 服务器租用廉价的游戏或挖矿GPU，而不是使用大型云提供商的数据中心级硬件。 19 年夏天，900 个GPU（Nvidia GTX 1060）已用于两个月的计算。计算表明，破解64 位安全级别的密码（即计算264 个对称密码的操作）现在的成本不到10 万美元。

PGP/GnuPG模拟和攻击示例

他们选择了PGP/GnuPG信任网络来演示SHA-1的前缀冲突攻击。 “Web of Trust”是PGP 的信任模型，它依赖于用户彼此签署身份证书，而不是使用中央PKI。出于兼容性原因，GnuPG 的较旧分支（版本1.4）仍然默认使用SHA-1 进行身份验证。使用SHA-1 选择前缀冲突，会创建两个具有不同UserID 和冲突证书的PGP 密钥：密钥B 是Bob 的合法密钥（由Web of Trust 签名），但签名会转移到使用密钥A 签名的伪造的Alice ID。哈希冲突后，签名仍然有效，允许鲍勃以爱丽丝的名义控制由第三方签名的密钥A。因此，鲍勃可以冒充爱丽丝并以她的名义签署任何文件。

例子

该研究创建了与前缀99040d047fe81780012000 和99030d047fe81780011800（十六进制）的选择前缀冲突。您可以下载以下两条消息并使用sha1sum 工具验证其哈希值：

消息A（sha-mbles.github.io/messageA）

消息B（sha-mbles.github.io/messageB）

sha1sum验证：

sha1sum 消息A sha1sum 消息B

8ac60ba76f1999a1ab70223f225aefdc78d4ddc0 消息A

8ac60ba76f1999a1ab70223f225aefdc78d4ddc0 消息B

选择该前缀是为了构建两个具有冲突的SHA-1 认证签名的PGP 公钥。您可以使用不同的用户名下载以下两个示例密钥，并使用pgpdump -i 检查它们，看看0xAFBB1FED6951A956 颁发的SHA-1 签名是否相同：

alice.asc(sha-mbles.github.io/alice.asc)

bob.asc(sha-mbles.github.io/bob.asc)

为了避免恶意使用，密钥的历史可以追溯到很久以前。如果你想使用pgp 来分析它们，你可以使用--ignore-time-conflict --ignore-valid-from 选项并添加falsetime @2145920400 作为命令的前缀）。

相关系统漏洞

GnuPG

GnuPG 开发人员于2019 年5 月9 日讨论了此攻击，并于2019 年10 月1 日通知了新发现的选定前缀冲突。该问题的CVE 编号为CVE-2019-14855。 GnuPG 版本2.2.18（2019 年11 月25 日发布）中包含的edc36f5 提交中采用了一项政策：2019 年1 月19 日之后基于SHA-1 创建的身份签名被视为无效。

CA证书

CAcert 是PGP 密钥的主要CA 之一。在公钥服务器上，有大量带有CAcert最新SHA-1签名的密钥。 12 月14 日通过电子邮件联系，并于1 月6 日收到此回复的确认。 CAcert 计划改用安全散列功能进行密钥身份验证。

开放式SSL

12 月14 日联系了OpenSSL 开发人员。 SHA-1 已在安全级别1（定义为80 位安全）下禁用。由于安全级别1 是默认配置，因此此设置可防止将SHA-1 用于证书和握手签名。 Debian Linux 此前已将最新版本（Debian Buster）中的默认配置设置为安全级别2（定义为112 位安全），这可以防止SHA-1 的危险使用。

相关问题

前缀选择冲突

哈希函数H 的经典冲突（或相同前缀的冲突）只是两个消息M 和M'，这会产生相同的哈希输出：H(M)=H(M')。尽管这种安全概念在密码学中很重要，但在实践中利用经典碰撞进行攻击仍然很困难。虚构的选择前缀冲突是一种更受约束（并且更难获得）的冲突类型，其中攻击者首先被给予两个消息前缀P 和P' 作为挑战，然后他的目标是计算两个消息M 和M '，使得H(P || M)=H(P'|| M')，其中||代表串联。这样，可以任意选择前缀（因此可能包含一些有意义的信息），并且攻击者可以获得冲突。如果在数字签名方案中使用哈希函数，安全风险是巨大的。

SHA-1 用法

近年来，SHA-1的使用量明显减少；特别是，Web 浏览器现在拒绝使用SHA-1 签名的证书。然而，许多应用程序仍然支持SHA-1 签名。 SHA-1 是默认的哈希函数，用于在GnuPG 的旧分支中验证PGP 密钥，并且签名已被GnuPG 的现代分支所接受。许多非Web TLS 客户端也接受SHA-1 证书，并且TLS 和SSH 中仍允许使用SHA-1 进行协议内签名。即使实际使用率较低（约1%），这也可能会造成安全威胁，因为中间相遇攻击者会首先将连接降级为SHA-1，然后伪造证书攻击。 SHA-1 也是Git 版本控制系统的基础。有许多鲜为人知或专有的协议仍在使用SHA-1，但这很难评估。

攻击成本

通过在线租用GPU集群来研究整个针对SHA-1的选定前缀冲突攻击总共花费了约7.5万美元。但在执行计算时并没有特别优化，并不是最好的算法实现。并浪费额外的计算时间进行研究。如果消除这些影响，攻击成本目前可以控制在45,000 美元。随着计算成本持续快速下降，预计到2025 年，针对SHA-1 生成选定前缀冲突攻击的成本应降至10,000 美元。

现有的SHA-1 碰撞攻击

经典的碰撞攻击在2017年就已经出现在SHA-1上，但它们与选择性前缀碰撞攻击有很大不同，后者可以挑战任何前缀对，这在实践中会导致更严重的影响。

针对SHA-1 的选定前缀冲突攻击

研究人员宣布了一种新的选择前缀冲突攻击，该攻击已在Eurocrypt 2019 会议上提出。该攻击现已得到改进，可以以合理的成本进行，并且针对SHA-1 的选定前缀冲突攻击的实际实现已经编写。为了避免恶意使用，我们会等待一段时间后才会发布相关代码。

该研究论文为eprint.iacr.org/2020/014.pdf，您可以下载并研究。

总结

影响

任何希望通过SHA-1 获得抗碰撞性的用途都是非常危险的。某些情况可能会直接受到所选前缀冲突的影响：

如果第三方生成并使用SHA-1 密钥身份验证，则可以伪造PGP 密钥

如果某些证书颁发机构颁发具有可预测序列号的SHA-1 证书，X.509 证书可能会被破坏。

经典冲突和选定的前缀冲突不会威胁到SHA-1 的所有用例。例如，HMAC-SHA-1 似乎相对安全，并且SHA-1 的原像抵抗性（即反转哈希函数的能力）至今仍保持不变。但建议在所有地方弃用SHA-1，即使没有证据可以直接利用它。

建议

避免在产品中使用SHA-1。对于已经在使用的，请尽快升级到SHA-256 或SHA-3 或ECDSA。