SHA-1 - SHA-1

[Hash algoritmlari]
Tushunchalar
xash funktsiyalari  · SHA  · DSA
Asosiy standartlar
SHA-0  · SHA-1  · SHA-2  · SHA-3
SHA-1
Umumiy
DizaynerlarMilliy xavfsizlik agentligi
Birinchi marta nashr etilgan1993 yil (SHA-0),
1995 yil (SHA-1)
Seriya(SHA-0 ), SHA-1, SHA-2, SHA-3
SertifikatlashFIPS PUB 180-4, CRYPTREC (Kuzatilgan)
Shifrlash tafsiloti
Ovqat hazm qilish o'lchamlari160 bit
Blok o'lchamlari512 bit
TuzilishiMerkle-Damgård qurilishi
Davralar80
Eng yaxshi jamoatchilik kriptanaliz
Mark Stivensning 2011 yildagi xujmi xesh to'qnashuvini keltirib chiqarishi mumkin, bu murakkablik 2 ga teng60.3 va 265.3 operatsiyalar.[1] Birinchi ommaviy to'qnashuv 2017 yil 23 fevralda e'lon qilingan.[2] SHA-1 moyil uzunlikni kengaytirish hujumlari.

Yilda kriptografiya, SHA-1 (Xashsiz algoritm 1) a kriptografik xash funktsiyasi kirish oladi va 160- ishlab chiqaradibit (20-bayt ) sifatida tanilgan xash qiymati Xabar hazm qilish - odatda o'n oltinchi 40 ta raqamdan iborat raqam. Bu Amerika Qo'shma Shtatlari tomonidan ishlab chiqilgan Milliy xavfsizlik agentligi, va AQSh Federal Axborotni qayta ishlash standarti.[3]

2005 yildan beri SHA-1 yaxshi moliyalashtirilgan raqiblarga qarshi xavfsiz deb hisoblanmadi;[4] 2010 yildan boshlab ko'plab tashkilotlar uni almashtirishni tavsiya qilishdi.[5][6][7]NIST 2011 yilda SHA-1dan foydalanishni rasman bekor qildi va 2013 yilda elektron raqamli imzolar uchun foydalanishga ruxsat bermadi. tanlangan-prefiks hujumlari SHA-1 ga qarshi amaliy.[8][9] Shunday qilib, SHA-1ni mahsulotlardan iloji boricha tezroq olib tashlash va buning o'rniga foydalanish tavsiya etiladi SHA-2 yoki SHA-3. SHA-1ni almashtirish qaerda ishlatilishi kerak elektron raqamli imzolar.

Barcha asosiy veb-brauzer sotuvchilar SHA-1ni qabul qilishni to'xtatdilar SSL sertifikatlari 2017 yilda.[10][11][12] 2017 yil fevral oyida, CWI Amsterdam va Google a ijro etganligini e'lon qildi to'qnashuv hujumi SHA-1-ga qarshi, xuddi shu SHA-1 xashini ishlab chiqargan ikkita o'xshash bo'lmagan PDF-fayllarni nashr etish.[13][2] Ammo SHA-1 hali ham xavfsizdir HMAC.[14]

Rivojlanish

SHA-1 siqishni funktsiyasi ichidagi bitta takrorlash:
A, B, C, D va E 32-bit so'zlar davlat;
F o'zgaruvchan chiziqli bo'lmagan funktsiya;
chap tomonga burilishni bildiradi n joylar;
n har bir operatsiya uchun farq qiladi;
Vt t dagi kengaytirilgan xabar so'zi;
Kt t dumaloq dumaloq doimiysi;
Qo'shish qo'shimcha modul 2 ni bildiradi32.

SHA-1 ishlab chiqaradi Xabar hazm qilish tomonidan ishlatiladigan printsiplarga o'xshash printsiplarga asoslanadi Ronald L. Rivest ning MIT dizaynida MD2, MD4 va MD5 xabarlarni hazm qilish algoritmlari, lekin katta xash qiymatini hosil qiladi (160 bit va 128 bit).

SHA-1 AQSh hukumati tarkibida ishlab chiqilgan Capstone loyihasi.[15] Algoritmning asl spetsifikatsiyasi 1993 yilda ushbu nom ostida nashr etilgan Xavfsiz hash standarti, FIPS PUB 180, AQSh hukumati standartlari agentligi tomonidan NIST (Milliy standartlar va texnologiyalar instituti).[16][17] Ushbu versiya endi tez-tez nomlanadi SHA-0. Bu tomonidan qaytarib olingan NSA nashr etilganidan ko'p o'tmay, 1995 yilda FIPS PUB 180-1 da chop etilgan va odatda belgilangan qayta ishlangan versiyasi bilan almashtirildi SHA-1. SHA-1 SHA-0 dan faqat uning xabarlar jadvalidagi bittadan aylantirish bilan farq qiladi siqish funktsiyasi. NSA ma'lumotlariga ko'ra, bu uning algoritmidagi kriptografik xavfsizligini pasaytirgan qusurni tuzatish uchun qilingan, ammo ular qo'shimcha izoh berishmagan.[18][19] Ommaviy texnika haqiqatan ham SHA-0, 2004 yilda, 2017 yilda SHA-1dan oldin kelishuvni namoyish etdi. Qarang #Hujumlar

Ilovalar

Kriptografiya

Qo'shimcha ma'lumotlar: Kriptografik xash funktsiyasi § Ilovalar

SHA-1 keng tarqalgan bo'lib foydalaniladigan xavfsizlik dasturlari va protokollarining bir qismini tashkil etadi, shu jumladan TLS va SSL, PGP, SSH, S / MIME va IPsec. Ushbu dasturlardan ham foydalanish mumkin MD5; MD5 va SHA-1 ikkalasi ham kelib chiqadi MD4.

SHA-1 va SHA-2 - bu qonunda ma'lum darajada foydalanish uchun talab qilinadigan xash algoritmlari AQSh hukumati ilovalar, shu jumladan boshqa maxfiy ma'lumotni himoya qilish uchun boshqa kriptografik algoritmlar va protokollar ichida foydalanish. FIPS PUB 180-1 shuningdek SHA-1ni xususiy va tijorat tashkilotlari tomonidan qabul qilinishi va ishlatilishini rag'batlantirdi. SHA-1 hukumatning aksariyat xizmatlaridan nafaqaga chiqqan; AQSh Milliy Standartlar va Texnologiyalar Instituti «Federal idoralar kerak to'qnashuv qarshiligini talab qiladigan ... amaliy dasturlar uchun SHA-1dan foydalanishni to'xtating va quyidagilarni ishlatishingiz kerak SHA-2 2010 yildan keyin ushbu ilovalar uchun xash funktsiyalar oilasi "(diqqat asl nusxada),[20] SHA-1-dan eski raqamli imzolar va vaqt tamg'alarini tekshirish uchun foydalanishga ruxsat berish uchun keyinchalik bu yumshatildi.[21]

The nashrining asosiy motivatsiyasi Xeshni xavfsiz algoritmi edi Raqamli imzo standarti, unga kiritilgan.

SHA xesh funktsiyalari asoslari uchun ishlatilgan SHAKAL blok shifrlari.

Ma'lumotlarning yaxlitligi

Qayta ko'rib chiqishni boshqarish kabi tizimlar Git, Mercurial va Monoton xavfsizlik uchun emas, balki tahrirlarni aniqlash va tasodifiy korruptsiya tufayli ma'lumotlar o'zgarmasligini ta'minlash uchun SHA-1dan foydalaning. Linus Torvalds Git haqida shunday dedi:

Agar sizda diskda korruptsiya bo'lsa, agar sizda DRAM buzilgan bo'lsa, agar sizda biron bir muammo bo'lsa, Git ularni sezadi. Bu savol emas agar, bu kafolat. Sizda zararli bo'lishga harakat qiladigan odamlar bo'lishi mumkin. Ular muvaffaqiyatga erisha olmaydilar. ... Hech kim SHA-1ni sindira olmadi, ammo gap SHA-1da, Gitga kelsak, bu xavfsizlik xususiyati ham emas. Bu shunchaki mustahkamlik tekshiruvi. Xavfsizlik qismlari boshqa joylarda, shuning uchun ko'p odamlar Git SHA-1 va SHA-1ni kriptografik xavfsiz narsalar uchun ishlatganligi sababli, ular juda yaxshi xavfsizlik xususiyati deb o'ylashadi. Xavfsizlik bilan umuman aloqasi yo'q, bu siz olishingiz mumkin bo'lgan eng yaxshi xash. ...
Sizga kafolat beraman, agar siz Git-ga ma'lumotlaringizni joylashtirsangiz, besh yildan so'ng, u sizning qattiq diskingizdan DVD-ga va har qanday yangi texnologiyalarga o'tkazilgandan keyin va siz uni nusxa ko'chirganingizdan so'ng, besh yildan so'ng siz siz qaytarib olgan ma'lumotlar siz qo'ygan ma'lumotlar bilan bir xil.
Menga g'amxo'rlik qilishning sabablaridan biri bu yadro, biz ulardan bittasida tanaffus qildik BitKeeper odamlar yadro manba kodlari omborlarini buzishga harakat qilgan saytlar.[22] Ammo Git-ni talab qilmaydi preimage ikkinchi qarshilik xavfsizlik xususiyati sifatida SHA-1-ni, chunki u har doim to'qnashganda ob'ektning eng qadimgi versiyasini saqlab qolishni afzal ko'radi va tajovuzkorga fayllarni yashirincha yozishiga yo'l qo'ymaydi.[23]

Kriptanaliz va tekshirish

Buning uchun xash funktsiyasi uchun L - bu xabarlar dayjestidagi bitlar soni, berilgan xabarlarga mos keladigan xabarni topish har doim qo'pol kuch qidirish yordamida taxminan 2 da bajarilishi mumkin.L baholash. Bunga a deyiladi oldindan hujum va qarab amaliy bo'lishi mumkin yoki bo'lmasligi mumkin L va ma'lum hisoblash muhiti. Biroq, a to'qnashuvBir xil xabar dayjestini ishlab chiqaradigan ikki xil xabarni topishdan iborat bo'lib, o'rtacha faqat taxminan talab qilinadi 1.2 × 2L/2 a yordamida baholash tug'ilgan kungi hujum. Shunday qilib kuch xash funktsiyasini odatda xabar hazm qilish uzunligining yarmini simmetrik shifr bilan taqqoslashadi. Dastlab 160 bitli xabar hazm qilish qobiliyatiga ega SHA-1 dastlab 80-bitli kuchga ega deb hisoblangan.

2005 yilda kriptograflar Xiaoyun Vang, Yiqun Liza Yin, va Hongbo Yu SHA-0 uchun to'qnashuv juftlarini ishlab chiqardi va SHA-1 to'qnashuvlarini dastlab kutilganidan 2dan kamrog'ida ishlab chiqarishi kerak bo'lgan algoritmlarni topdi.80 baholash.[24]

Parolni saqlash kabi kriptografik xeshlardan foydalanadigan ba'zi dasturlarga to'qnashuv hujumi minimal darajada ta'sir qiladi. Ma'lum bir hisob uchun ishlaydigan parolni yaratish uchun a talab qilinadi oldindan hujum, shuningdek ahamiyatsiz bo'lishi mumkin yoki bo'lmasligi mumkin bo'lgan asl parolning xashiga kirish. Parolni shifrlashni bekor qilish (masalan, boshqa joyda foydalanuvchi hisobiga qarshi harakat qilish uchun parolni olish) hujumlar orqali amalga oshirilmaydi. (Ammo, hatto xavfsiz parol bilan aralashish ham qo'pol hujumlarga yo'l qo'ymaydi zaif parollar.)

Hujjat imzolangan taqdirda, tajovuzkor mavjud bo'lgan hujjatdan shunchaki imzo soxtalashtira olmadi: tajovuzkor bitta zararli va bittasi zarar etkazadigan bir juft hujjat tayyorlab, shaxsiy kalit egasini zararsiz hujjatni imzolashi kerak. Bu mumkin bo'lgan amaliy holatlar mavjud; 2008 yil oxirigacha qalbaki yaratish mumkin edi SSL dan foydalangan holda sertifikatlar MD5 to'qnashuv.[25]

Algoritmlarning blokirovka va iterativ tuzilishi va qo'shimcha yakuniy bosqichlarning yo'qligi tufayli barcha SHA funktsiyalari (SHA-3 dan tashqari)[26]) himoyasizdir uzunlikni kengaytirish va qisman xabarlarni to'qnashuv hujumlari.[27] Ushbu hujumlar tajovuzkorga faqat kalitli xash bilan imzolangan xabarni soxtalashtirishga imkon beradi - SHA (xabar || kalit) yoki SHA (kalit || xabar) - kalitni bilmasdan xabarni kengaytirish va xashni qayta hisoblash orqali. Ushbu hujumlarning oldini olish uchun oddiy yaxshilanish ikki marta xashlashdir: SHAd(xabar) = SHA (SHA (0b || xabar)) (uzunligi 0b, nol blok, xash funktsiyasining blok o'lchamiga teng).

Hujumlar

2005 yil boshida, Rijmen va Elisabet Osvald SHA-1 ning qisqartirilgan versiyasiga hujumni e'lon qildi - 80 ta turdan 53 tasi - bu 2 dan kam hisoblash harakati bilan to'qnashuvlarni topadi80 operatsiyalar.[28]

2005 yil fevral oyida, tomonidan hujum Xiaoyun Vang, Yiqun Liza Yin va Xongbo Yu e'lon qilindi.[29] Hujumlar SHA-1ning to'liq versiyasida to'qnashuvlarni topishi mumkin, buning uchun 2 dan kam talab qilinadi69 operatsiyalar. (A qo'pol kuch bilan qidirish 2 talab qilinadi80 operatsiyalar.)

Mualliflar quyidagilarni yozadilar: "Xususan, bizning tahlilimiz SHA-0ga dastlabki differentsial hujum, SHA-0 ga yaqin to'qnashuv hujumi, ko'p blokli to'qnashuv texnikasi, shuningdek to'qnashuvni qidirish hujumida foydalanilgan xabarlarni o'zgartirish usullari asosida qurilgan. MD5. SHA-1ni sindirish ushbu kuchli analitik usullarsiz amalga oshirilmaydi. "[30] Mualliflar 58 turdan iborat SHA-1 to'qnashuvini 2 bilan topilgan33 xesh operatsiyalari. Hujumning to'liq tavsifi berilgan maqola 2005 yil avgust oyida CRYPTO konferentsiyasida nashr etilgan.

Intervyuda Yin, "biz quyidagi ikkita zaif tomonlardan foydalanamiz: biri - faylni qayta ishlash bosqichi etarlicha murakkab emas; ikkinchisi - dastlabki 20 turda ba'zi matematik operatsiyalarda kutilmagan xavfsizlik muammolari mavjud".[31]

2005 yil 17 avgustda SHA-1 hujumi yaxshilanganligi nomidan e'lon qilindi Xiaoyun Vang, Endryu Yao va Frensis Yao CRYPTO 2005 Rump Sessiyasida SHA-1da to'qnashuvni topish uchun zarur bo'lgan murakkablikni 2 ga tushirdi63.[32] 2007 yil 18-dekabrda Martin Kochran tomonidan ushbu natijaning tafsilotlari tushuntirildi va tasdiqlandi.[33]

Kristof De Kannier va Kristian Rechberger SHA-1 ga qarshi hujumni "SHA-1 xususiyatlarini topish: umumiy natijalar va qo'llanmalar" da yanada takomillashtirdilar.[34] da eng yaxshi qog'oz mukofotini olish ASIAKRIPT 2006. 64 turli SHA-1 uchun ikkita blokli to'qnashuv taqdim etildi, unda 2 ga mos bo'lmagan usullar yordamida topildi35 siqishni funktsiyalarini baholash. Ushbu hujum taxminan 2 ga teng ekvivalentni talab qilganligi sababli35 baholash, bu muhim nazariy tanaffus deb hisoblanadi.[35] Ularning hujumi 2010 yilda Grechnikov tomonidan 73 raundgacha (80 ta) kengaytirildi.[36] Xash funktsiyasining to'liq 80 turida haqiqiy to'qnashuvni topish uchun kompyuter uchun juda katta vaqt talab etiladi. Shu maqsadda, tarqatilgan hisoblash platformasi yordamida SHA-1 uchun to'qnashuv izlash BOINC tomonidan tashkil etilgan 2007 yil 8 avgustda boshlangan Graz Texnologiya Universiteti. Ushbu harakat 2009 yil 12-mayda muvaffaqiyatsizlikka uchraganligi sababli qoldirildi.[37]

CRYPTO 2006 ning Rump Sessiyasida Christian Rechberger va Christophe De Canniere SHA-1-da to'qnashuv hujumini aniqladilar, bu tajovuzkorga xabarning hech bo'lmaganda qismlarini tanlashga imkon beradi.[38][39]

2008 yilda Stefan Manuel hujum metodologiyasi taxminiy nazariy murakkabligi 2 ga teng bo'lgan xash to'qnashuvlar haqida xabar berdi51 2 ga57 operatsiyalar.[40] Ammo keyinchalik u mahalliy to'qnashuv yo'llari aslida mustaqil emasligini aniqlagandan so'ng, bu da'vosidan voz kechdi va nihoyat, ushbu ishdan oldin ma'lum bo'lgan to'qnashuv vektorining eng samarali qismini keltirdi.[41]

Kameron Makdonald, Filipp Xokks va Yozef Piprzik xash to'qnashuvi hujumini taqdim etdilar52 Eurocrypt 2009 Rump Session-da.[42] Biroq, ilova qilingan qog'oz, "SHA-1 uchun differentsial yo'l murakkabligi bilan O (252) "mualliflar tomonidan ularning taxminiy bahosi noto'g'ri ekanligi aniqlanganligi sababli olib qo'yildi.[43]

SHA-1ga qarshi bitta hujum Mark Stivens edi[44] taxminiy qiymati 2,77 million dollar (2012), bulutli serverlardan CPU quvvatini ijaraga olish orqali bitta xash qiymatini buzish.[45] Stivens ushbu hujumni HashClash deb nomlangan loyihada ishlab chiqdi,[46] differentsial yo'l hujumini amalga oshirish. 2010 yil 8-noyabrda u taxmin qilingan murakkabligi 2 ga teng bo'lgan to'liq SHA-1 ga qarshi to'liq to'qnashuv hujumini uyushtirganini da'vo qildi.57.5 SHA-1 kompressiyalari. Uning taxmin qilishicha, ushbu hujum to'liq to'qnashuvga qadar davom etishi mumkin va bu murakkablik taxminan 2 ga teng61.

ShAppening

2015 yil 8-oktabrda Mark Stivens, Per Karpman va Tomas Peyrin SHA-1-ning siqish funktsiyasiga faqat ikkita talab qiladigan erkin to'qnashuv hujumini nashr etishdi.57 SHA-1 baholari. Bu to'g'ridan-to'g'ri to'liq SHA-1 xash funktsiyasida to'qnashuvga aylantirilmaydi (bu erda tajovuzkor mavjud) emas dastlabki ichki holatni erkin tanlashga qodir), ammo SHA-1 uchun xavfsizlik talablarini buzadi. Xususan, to'liq SHA-1-ga hujum birinchi marta sodir bo'ldi namoyish etildi; avvalgi barcha hujumlar ularning mualliflari uchun ularni amalga oshirish uchun juda qimmat edi. Mualliflar SHA-1 kriptanalizidagi ushbu muhim yutuqni nomlashdi ShAppening.[6]

Usul ularning avvalgi ishlariga, shuningdek, Joux va Peyrindan yordamchi yo'llarni (yoki bumeranglarni) tezlashtirish texnikasiga va yuqori samarali / tejamkor GPU kartalaridan foydalanishga asoslangan edi. NVIDIA. To'qnashuv 16 tugunli klasterda, jami 64 ta grafik kartada topilgan. Mualliflar shunga o'xshash to'qnashuvni GPU vaqtidan 2000 AQSh dollarini sotib olish orqali topish mumkinligini taxmin qilishdi EC2.[6]

Mualliflar nashr etilgan paytda SHA-1 uchun to'liq to'qnashuv hosil qilish uchun etarli EC2 CPU / GPU vaqtini ijaraga olish qiymati 75K dan 120K AQSh dollarigacha bo'lganligini taxmin qildilar va bu jinoiy tashkilotlar byudjetiga to'g'ri kelishini ta'kidladilar. milliy haqida gapirish razvedka idoralari. Shunday qilib, mualliflar SHA-1ni tezroq eskirishini tavsiya qilishdi.[6]

SHAttered - birinchi ommaviy to'qnashuv

2017 yil 23-fevral kuni CWI (Centrum Wiskunde & Informatica) va Google e'lon qildi SHAtter hujum, ular taxminan bir xil SHA-1 aralashmasi bilan ikki xil PDF-fayllarni yaratdilar63.1 SHA-1 baholari. Ushbu hujum SHA-1 ni a bilan to'qnashuvni majburlaganidan, taxminan 100000 marta tezroq tug'ilgan kungi hujum, 2 ga teng deb taxmin qilingan80 SHA-1 baholari. Hujum uchun "6500 yillik bitta protsessorli hisoblashlar va 110 yillik bitta GPU hisoblashlarning ekvivalent ishlash kuchi" kerak edi.[2]

Tug'ilgan kunga to'qnashuvga yaqin hujum - birinchi amaliy tanlangan prefiks hujumi

2019 yil 24 aprelda Gaetan Leurent va Tomas Peyrinning Eurocrypt 2019 ko'rgazmasida taqdim etgan maqolasi ilgari eng yaxshilarini takomillashtirishni tasvirlab berdi tanlangan-prefiks hujumi yilda Merkle – Damgård - shunga asoslangan hazm qilish funktsiyalari Devies – Meyer blok shifrlari. Ushbu yaxshilanishlar yordamida ushbu usul taxminan 2 da tanlangan prefiks to'qnashuvlarini topishga qodir68 SHA-1 baholari. Bu avvalgi hujumga qaraganda taxminan 1 milliard barobar tezroq (va hozirda prefiksni tanlash imkoniyati tufayli, masalan, zararli kod yoki imzolangan sertifikatlardagi soxta identifikatorlar tufayli ko'plab maqsadli hujumlar uchun foydalanish mumkin)77.1 baholash (lekin tanlangan prefikssiz, bu aniq maqsadli hujumlar uchun amaliy bo'lmagan, chunki topilgan to'qnashuvlar deyarli tasodifiy bo'lgan)[47] bulutli ishlov berishga taxminan $ 100,000 talab qiladigan, topqir hujumchilar uchun amaliy bo'lishi uchun juda tezdir. Ushbu usul shuningdek tanlangan prefiks to'qnashuvlarini topishga qodir MD5 funktsiyasi, ammo murakkabligi 2 ga teng46.3 nazariy darajadagi mavjud bo'lgan eng yaxshi usuldan ustun emas (239), ammo potentsial ravishda amaliy darajada (-2)49).[48][49] Ushbu hujum 500+ Gb xotirani talab qiladi.

2020 yil 5-yanvarda mualliflar yaxshilangan hujumni e'lon qilishdi.[50] Ushbu maqolada ular murakkabligi 2 ga teng tanlangan prefiks to'qnashuv hujumini namoyish etadi63.4, nashr etilgan paytda to'qnashuv uchun 45 ming AQSh dollari kerak bo'ladi.

SHA-0

Da CRYPTO 98, ikki frantsuz tadqiqotchisi, Florent Chabaud va Antuan Jou, SHA-0ga hujumni taqdim etdi: to'qnashuvlar murakkabligi 2 bilan topish mumkin61, 2 dan kamroq80 bir xil o'lchamdagi ideal xash funktsiyasi uchun.[51]

2004 yilda, Biham va Chen SHA-0 uchun to'qnashuvlarni topdilar - deyarli bir xil qiymatga ega bo'lgan ikkita xabar; bu holda, 160 bitdan 142 tasi teng. SHA-0 to'qnashuvlarini 80 turdan 62tagacha qisqartirganligini aniqladilar.[52]

Keyinchalik, 2004 yil 12-avgustda Joux, Carribault, Lemuet va Jelbi tomonidan SHA-0 algoritmining to'liq to'qnashuvi e'lon qilindi. Bu Chabaud va Joux hujumlarini umumlashtirish yordamida amalga oshirildi. To'qnashuvni topish murakkabligi 2 ga teng edi51 va taxminan 80,000 protsessor soatni tashkil etdi superkompyuter 256 bilan Itanium 2 protsessorlar (kompyuterning 13 kunlik to'liq ish kuniga teng).

2004 yil 17 avgustda CRYPTO 2004 Rump Sessiyasida dastlabki natijalar e'lon qilindi Vang, Feng, Lay va Yu, hujum haqida MD5, SHA-0 va boshqa xash funktsiyalari. SHA-0ga hujumlarining murakkabligi 2 ga teng40, Joux hujumidan sezilarli darajada yaxshiroq va boshq.[53][54]

2005 yil fevral oyida, tomonidan hujum Xiaoyun Vang, Yiqun Liza Yin, va Hongbo Yu SHA-0 da to'qnashuvlarni 2da topishi mumkinligi e'lon qilindi39 operatsiyalar.[29][55]

2008 yildagi yana bir hujum bumerang hujumi to'qnashuvlarni topishning murakkabligini 2 ga etkazdi33.6, bu o'rtacha kompyuterda 1 soat davom etishi taxmin qilinmoqda.[56]

SHA-0 natijalari asosida ba'zi ekspertlar[JSSV? ] yangi SHA-1dan foydalanish rejalarini taklif qildi kriptotizimlar qayta ko'rib chiqilishi kerak. CRYPTO 2004 natijalari e'lon qilingandan so'ng, NIST SHA-2 variantlari foydasiga SHA-1dan 2010 yilgacha foydalanishni to'xtatishni rejalashtirganliklarini e'lon qildi.[57]

Rasmiy tasdiqlash

Asosiy maqola: Kriptografik modulni tasdiqlash dasturi

Barcha FIPS tomonidan tasdiqlangan xavfsizlik funktsiyalarining bajarilishi rasmiy ravishda CMVP dasturi, tomonidan birgalikda boshqariladi Milliy standartlar va texnologiyalar instituti (NIST) va Aloqa xavfsizligini o'rnatish (CSE). Norasmiy tekshirish uchun juda ko'p miqdordagi test vektorlarini yaratish uchun to'plam NIST saytiga yuklab olish uchun tayyorlanadi; natijada tasdiqlash, ammo ba'zi dasturlar uchun qonun bilan talab qilingan rasmiy CMVP tekshiruvini almashtirmaydi.

2013 yil dekabr holatiga ko'ra, SHA-1 ning 2000 dan ortiq tasdiqlangan dasturlari mavjud, ulardan 14 tasi sakkizdan ko'p bo'lmagan bitli uzunlikdagi xabarlarga ishlov berishga qodir (qarang SHSni tasdiqlash ro'yxati ).

Misollar va psevdokod

Misol xeshlari

Bu SHA-1 namunalari xabar hazm qiladi o'n oltilikda va Baza 64 ikkilik ASCII matnni kodlash.

SHA1 ("Tez jigarrang tulki dangasa ustidan sakrab chiqadi dog ") o'n oltilikni beradi: 2fd4e1c67a2d28fced849ee1bb76e7391b93eb12gives Baza 64 ikkilik ASCII matnni kodlash: L9ThxnotKPzthJ7hu3bnORuT6xI =

Xabarning ozgina o'zgarishi ham katta ehtimollik bilan ko'plab bitlarning o'zgarishiga olib keladi qor ko'chkisi ta'siri. Masalan, o'zgartirish it ga tishli tish 160 bitdan 81 tasi uchun turli xil qiymatlarga ega xash hosil qiladi:

SHA1 ("Tez jigarrang tulki dangasa ustidan sakrab chiqadi vog ") o'n oltilikni beradi: de9f2c7fd25e1b3afad3e85a0bd17d9b100db4b3gives Baza 64 ikkilik ASCII matnni kodlash: 3p8sf9JeGzr60 + haC9F9mxANtLM =

Nol uzunlikdagi satrning xeshi:

SHA1 ("") o'n oltilikni beradi: da39a3ee5e6b4b0d3255bfef95601890afd80709gives Baza 64 ikkilik ASCII matnni kodlash: 2jmj7l5rSw0yVb / vlWAYkK / YBwk =

SHA-1 psevdokodi

Psevdokod SHA-1 algoritmi uchun quyidagilar:

Izoh 1: Barcha o'zgaruvchilar imzosiz 32-bitli miqdorlar va 2-modulni o'rash32 hisoblashda, bundan mustasno        ml, xabarning uzunligi, ya'ni 64 bitli miqdor va        hh, xabarlarning dayjesti, bu 160 bitli miqdor.Izoh 2: Ushbu soxta kodning barcha doimiylari ichida katta endian.        Har bir so'z ichida eng muhim bayt eng chap bayt holatida saqlanadiO'zgaruvchilarni ishga tushirish:h0 = 0x67452301h1 = 0xEFCDAB89h2 = 0x98BADCFEh3 = 0x10325476h4 = 0xC3D2E1F0ml = bit uzunlikdagi xabar uzunligi (har doim belgidagi bitlar sonining ko'pligi).Oldindan ishlov berish:xabarga '1' bitini qo'shing, masalan. agar xabar uzunligi 8 bitdan ko'p bo'lsa, 0x80 qo'shib, 0-k <512 bit '0' qo'shing, natijada xabarning uzunligi bitlar   bu uyg'un -64 ≡ 448 (mod 512) ga, asl xabar uzunligini 64 bitga qo'shib qo'ying katta endian tamsayı. Shunday qilib, umumiy uzunlik 512 bitdan iborat.Xabarni ketma-ket 512 bitli qismlarga ishlov bering:xabarni 512 bitli qismlarga ajratishuchun har bir qism w [i], 0 bit i ≤ 15 ning o'n oltita 32 bitli katta so'zlaridan iborat. Xabar jadvali: o'n oltita 32 bitli so'zlarni sakson 32 bitli so'zlarga kengaytiring:    uchun men dan 16 dan 79 gacha Izoh 3: SHA-0 ushbu chap tomonga ega emasligi bilan farq qiladi.        w [i] = (w [i-3] xor w [i-8] xor w [i-14] xor w [i-16]) chap tomonga burish 1    Ushbu qism uchun xash qiymatini boshlang:    a = h0 b = h1 c = h2 d = h3 e = h4 Asosiy tsikl:[3][58]    uchun men dan 0 ga 79        agar 0 ≤ i ≤ 19 keyin            f = (b va v) yoki ((emas b) va d) k = 0x5A827999 boshqa bo'lsa 20 ≤ i ≤ 39 f = b xor v xor d k = 0x6ED9EBA1 boshqa bo'lsa 40 ≤ i-59 f = (b va v) yoki (b va d) yoki (c va d) k = 0x8F1BBCDC boshqa bo'lsa 60 ≤ i ≤ 79 f = b xor v xor d k = 0xCA62C1D6 temp = (a chap tomonga burish 5) + f + e + k + w [i] e = d d = c c = b chap tomonga burish 30 b = a a = temp Hozirgacha natijaga erishish uchun ushbu xashni qo'shing:    h0 = h0 + a h1 = h1 + b h2 = h2 + c h3 = h3 + d h4 = h4 + eYakuniy xash qiymatini (big-endian) 160 bitli raqam sifatida chiqaring:hh = (h0 leftshift 128) yoki (h1.) leftshift 96) yoki (h2.) leftshift 64) yoki (h3.) leftshift 32) yoki h4

Raqam hh - bu o'n oltinchi raqamda yozish mumkin bo'lgan dayjest (16-asos).

Algoritmda ishlatiladigan tanlangan doimiy qiymatlar qabul qilindi hech narsa mening raqamlar qadar:

  • To'rt dumaloq doimiy k 230 kvadrat ildizlari 2, 3, 5 va 10 ga teng. Biroq, ular nol va bit bitlarining muvozanatlashtirilgan nisbati bilan g'alati butun songa yaxlitlash o'rniga noto'g'ri butun songa yaxlitlangan. Bundan tashqari, 10-ning kvadrat ildizini tanlash (bu asosiy emas), uni 2 va 5-sonli boshqa tanlangan kvadrat ildizlar uchun umumiy omilga aylantirdi, ehtimol ketma-ket turlarda arifmetik xususiyatlarga ega bo'lib, algoritmning kuchini kamaytiradi. ba'zi bitlarda to'qnashuvlarni topish.
  • Uchun dastlabki to'rt boshlang'ich qiymat h0 orqali h3 MD5 algoritmi bilan bir xil, beshinchi va oltinchi (uchun h4 va h5) o'xshash. Biroq, ular bir nechta dastlabki turlarning inversiyasiga qarshi ko'p bitli differentsial hujumlar bilan foydalanilishi mumkin bo'lgan ba'zi bitlarda yuzaga kelishi mumkin bo'lgan to'qnashuvlarga qarshi turish uchun etarli darajada tasdiqlanmagan.

Ko'rsatilgan asl FIPS PUB 180-1 formulasi o'rniga hisoblash uchun quyidagi ekvivalent iboralardan foydalanish mumkin f yuqoridagi asosiy ko'chadan:

Bit bitli tanlov v va dtomonidan boshqariladi b.(0-i-19): f = d xor (b va (c xor d)) (muqobil 1)(0-i-19): f = (b va v) xor ((emas b) va d) (muqobil 2)(0-i-19): f = (b va v) xor ((emas b) va d) (muqobil 3)(0-i-19): f = vec_sel (d, c, b) (muqobil 4) Bit-bitli ko'pchilik funktsiyasi.(40-i-59): f = (b va v) yoki (d va (b yoki c)) (muqobil 1)(40-i-59): f = (b va v) yoki (d va (b xor c)) (muqobil 2)(40-i-59): f = (b va v) xor (d va (b xor c)) (muqobil 3)(40-i-59): f = (b va v) xor (d va (b xor c)) (muqobil 4)(40-i-59): f = (b va v) xor (b va d) xor (c va d) (muqobil 5)(40-i-59): f = vec_sel (c, b, c xor d) (muqobil 6)

Shuningdek, u namoyish etildi[59] 32-79 turlar uchun quyidagilarni hisoblash:

w [i] = (w [i-3] xor w [i-8] xor w [i-14] xor w [i-16]) chap tomonga burish 1

bilan almashtirilishi mumkin:

w [i] = (w [i-6] xor w [i-16] xor w [i-28] xor w [i-32]) chap tomonga burish 2

Ushbu transformatsiya barcha operandlarni 64 bitli hizalanadi va bog'liqligini olib tashlaydi w [i] kuni w [i-3], vektor uzunligi 4 ga teng bo'lgan samarali SIMD-ni amalga oshirishga imkon beradi x86 SSE ko'rsatmalar.

SHA funktsiyalarini taqqoslash

Quyidagi jadvalda, ichki holat ma'lumotlar blokining har bir siqilishidan keyin "ichki xesh yig'indisi" degan ma'noni anglatadi.

Qo'shimcha ma'lumotlar: Merkle-Damgård qurilishi
SHA funktsiyalarini taqqoslash
Algoritm va variantChiqish hajmi
(bit)		Ichki davlat kattaligi
(bit)		Blok hajmi
(bit)		DavralarAmaliyotlarXavfsizlik (ichida bit) qarshi to'qnashuv hujumlariImkoniyatlar
qarshi uzunlikni kengaytirish hujumlari		Ishlash Skylake (o'rtacha cpb )[60]Birinchi marta nashr etilgan
uzoq xabarlar8 bayt
MD5 (ma'lumotnoma sifatida)128128
(4 × 32)		51264Va, Xor, Rot, Qo'shish (mod 232), Yoki≤18
(to'qnashuvlar topildi)[61]		04.9955.001992
SHA-0160160
(5 × 32)		51280Va, Xor, Rot, Qo'shish (mod 232), Yoki<34
(to'qnashuvlar topildi)		0A SHA-1A SHA-11993
SHA-1<63
(to'qnashuvlar topildi)[62]		3.4752.001995
SHA-2SHA-224
SHA-256		224
256		256
(8 × 32)		51264Va, Xor, Rot, Qo'shish (mod 232), Yoki, Shr112
128		32
0		7.62
7.63		84.50
85.25		2004
2001
SHA-384
SHA-512		384
512		512
(8 × 64)		102480Va, Xor, Rot, Qo'shish (mod 264), Yoki, Shr192
256		128 (≤ 384)
0[63]		5.12
5.06		135.75
135.50		2001
SHA-512/224
SHA-512/256		224
256		112
128		288
256		≈ SHA-384≈ SHA-3842012
SHA-3SHA3-224
SHA3-256
SHA3-384
SHA3-512		224
256
384
512		1600
(5 × 5 × 64)		1152
1088
832
576		24[64]Va, Xor, Rot, yo'q112
128
192
256		448
512
768
1024		8.12
8.59
11.06
15.88		154.25
155.50
164.00
164.00		2015
128
256		d (o'zboshimchalik bilan)
d (o'zboshimchalik bilan)		1344
1088		min (d/2, 128)
min (d/2, 256)		256
512		7.08
8.59		155.25
155.50

Amaliyotlar

Quyida SHA-1-ni qo'llab-quvvatlaydigan kriptografiya kutubxonalari ro'yxati keltirilgan:

Uskuna tezlashishi quyidagi protsessor kengaytmalari bilan ta'minlanadi:

Shuningdek qarang

Izohlar

  1. ^ Stivens, Mark (2012 yil 19-iyun). Hash funktsiyalari va ilovalariga hujumlar (PDF) (Tezis). Leyden universiteti. hdl:1887/19093. ISBN  9789461913173. OCLC  795702954.
  2. ^ a b v Stivens, Mark; Bursztein, Eli; Karpman, Per; Albertini, Anj; Markov, Yarik (2017). Kats, Jonatan; Shacham, Xovav (tahrir). To'liq SHA-1 uchun birinchi to'qnashuv (PDF). Kriptologiya sohasidagi yutuqlar - CRYPTO 2017. Kompyuter fanidan ma'ruza matnlari. 10401. Springer. 570-596 betlar. doi:10.1007/978-3-319-63688-7_19. ISBN  9783319636870. Arxivlandi asl nusxasi (PDF) 2018 yil 15 mayda. Olingan 23 fevral, 2017. XulosaGoogle Xavfsizlik blogi (2017 yil 23-fevral).
  3. ^ a b https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf
  4. ^ Shnayer, Bryus (2005 yil 18 fevral). "Shnayer xavfsizlik to'g'risida: SHA-1 kriptanalizi".
  5. ^ "NIST.gov - kompyuter xavfsizligi bo'limi - kompyuter xavfsizligi resurs markazi". Arxivlandi asl nusxasi 2011-06-25. Olingan 2019-01-05.
  6. ^ a b v d Stivens1, Mark; Karpman, Per; Peyrin, Tomas. "SHAppening: SHA-1 uchun mustaqil to'qnashuvlar". Olingan 2015-10-09.
  7. ^ Schneier, Bryus (8 oktyabr 2015). "SHA-1 Freestart to'qnashuvi". Shnayer xavfsizlik to'g'risida.
  8. ^ "Umumiy raqamli xavfsizlik algoritmida tanqidiy nuqson ko'rsatildi". media.ntu.edu.sg.
  9. ^ https://eprint.iacr.org/2020/014.pdf
  10. ^ Gudin, Dan (2016-05-04). "Microsoft keyingi 4 oy ichida SHA1 sertifikatlarini qo'llab-quvvatlashni to'xtatadi". Ars Technica. Olingan 2019-05-29.
  11. ^ "Google SHA-1 shifrlashni Chrome brauzeridan 2017 yil 1 yanvargacha o'chirib tashlaydi". VentureBeat. 2015-12-18. Olingan 2019-05-29.
  12. ^ "Ommaviy Internetdagi SHA-1 tugashi". Mozilla xavfsizlik blogi. Olingan 2019-05-29.
  13. ^ "CWI, Google sanoat xavfsizligi standarti SHA-1 bilan to'qnashuv haqida e'lon qildi". Olingan 2017-02-23.
  14. ^ Barker, Elaine (2020 yil may). "Asosiy boshqaruv bo'yicha tavsiyalar: 1-qism - Umumiy, 3-jadval".. NIST, Texnik hisobot: 56. doi:10.6028 / NIST.SP.800-57pt1r5.
  15. ^ Capstone bo'yicha RSA FAQ
  16. ^ Selvarani, R .; Asvata, Kumar; T V Suresh, Kumar (2012). Hisoblash sohasidagi yutuqlar bo'yicha xalqaro konferentsiya materiallari. Springer Science & Business Media. p. 551. ISBN  978-81-322-0740-5.
  17. ^ Xavfsiz xash standarti, Federal axborotni qayta ishlash standartlari nashr etilishi FIPS PUB 180, Milliy standartlar va texnologiyalar instituti, 1993 yil 11 may
  18. ^ Kramer, Shomuil (1994 yil 11-iyul). "Axborotni qayta ishlash bo'yicha Federal standartni (FIPS) 180, xavfsiz xesh standartini qayta ko'rib chiqishni taklif qilish".. Federal reestr.
  19. ^ fgrieu. "SHA-0 xash algoritmining tavsifini qaerdan topsam bo'ladi?". Kriptografiya birjasi.
  20. ^ Milliy standartlar va texnologiyalar instituti kompyuter xavfsizligi bo'yicha resurs markazi, NIST-ning 2006 yil martdagi "Hash funktsiyalari bo'yicha siyosati" Arxivlandi 2014-01-02 da Orqaga qaytish mashinasi, 2012 yil 28 sentyabrda kirgan.
  21. ^ Milliy standartlar va texnologiyalar instituti kompyuter xavfsizligi bo'yicha resurs markazi, NIST-ning xash funktsiyalari bo'yicha siyosati Arxivlandi 2011-06-09 da Orqaga qaytish mashinasi, 2012 yil 28 sentyabrda kirgan.
  22. ^ "Tech Talk: Linus Torvalds on git". Olingan 13-noyabr, 2013.
  23. ^ Torvalds, Linus. "Re: sha-256 haqida o'ylashni boshlaysizmi?". marc.info. Olingan 30 may 2016.
  24. ^ Vang, Xiaoyun; Yin, Yiqun Liza; Yu, Hongbo (2005-08-14). To'liq SHA-1-da to'qnashuvlarni topish (PDF). Kriptologiya sohasidagi yutuqlar - CRYPTO 2005. Kompyuter fanidan ma'ruza matnlari. 3621. Springer, Berlin, Geydelberg. 17-36 betlar. doi:10.1007/11535218_2. ISBN  978-3-540-28114-6.
  25. ^ Sotirov, Aleksandr; Stivens, Mark; Appelbaum, Yoqub; Lenstra, Arjen; Molnar, Devid; Osvik, Dag Arne; de Weger, Benne (2008 yil 30-dekabr). "MD5 bugungi kunda zararli deb hisoblanadi: soxta CA sertifikatini yaratish". Olingan 29 mart, 2009.
  26. ^ "Kechcakning kuchli tomonlari - dizayn va xavfsizlik". Kechcak shimgichni oilasi. Kechcak jamoasi. Olingan 20 sentyabr 2015. SHA-1 va SHA-2 dan farqli o'laroq, Keccakda uzunlikni uzaytirish kuchsizligi mavjud emas, shuning uchun HMAC ichki qurilishiga ehtiyoj qolmaydi. Buning o'rniga MACni hisoblash oddiygina xabarni kalit bilan oldindan kiritish orqali amalga oshirilishi mumkin.
  27. ^ Nil Ferguson, Bryus Shnayer va Tadayoshi Kohno, kriptografiya muhandisligi, John Wiley & Sons, 2010 yil. ISBN  978-0-470-47424-2
  28. ^ "Kriptologiya ePrint arxivi: Hisobot 2005/010".
  29. ^ a b "SHA-1 buzilgan - xavfsizlik to'g'risida Shnayer".
  30. ^ SHA1-da to'qnashuvni qidirish hujumlari Arxivlandi 2005-02-19 Orqaga qaytish mashinasi, Massachusets texnologiya instituti
  31. ^ Lemos, Robert. "Xavfsizlikdagi teshikni tuzatish". ZDNet.
  32. ^ "SHA-1ga qarshi yangi kriptanalitik natijalar - xavfsizlik bo'yicha Shnayer".
  33. ^ Vang va boshqalar haqida eslatmalar. 2018-04-02 121 263 SHA-1 differentsial yo'li
  34. ^ De Cannière, Christophe; Rechberger, xristian (2006-11-15). "SHA-1 xususiyatlarini topish: umumiy natijalar va qo'llanmalar". Kriptologiya sohasidagi yutuqlar - ASIACRYPT 2006 y. Kompyuter fanidan ma'ruza matnlari. 4284. 1-20 betlar. doi:10.1007/11935230_1. ISBN  978-3-540-49475-1.
  35. ^ "IAIK Krypto Group - SHA-1 to'qnashuvini qidirish loyihasining tavsifi". Arxivlandi asl nusxasi 2013-01-15. Olingan 2009-06-30.
  36. ^ "72 bosqichli va 73 bosqichli SHA-1 to'qnashuvlari: xarakteristikalarni takomillashtirish". Olingan 2010-07-24.
  37. ^ "SHA-1 to'qnashuvi bo'yicha qidiruv Graz". Arxivlandi asl nusxasi 2009-02-25. Olingan 2009-06-30.
  38. ^ "heise online - IT-News, Nachrichten und Hintergründe". heise onlayn.
  39. ^ "Kripto 2006 yildagi reja jadvali".
  40. ^ Manuel, Stefan. "SHA-1 ga qarshi to'qnashuv hujumlari uchun bezovtalik vektorlarini tasnifi va generatsiyasi" (PDF). Olingan 2011-05-19. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
  41. ^ Manuel, Stefan (2011). "SHA-1 ga qarshi to'qnashuv hujumlari uchun bezovtalik vektorlarining tasnifi va generatsiyasi". Dizaynlar, kodlar va kriptografiya. 59 (1–3): 247–263. doi:10.1007 / s10623-010-9458-9. S2CID  47179704. eng samarali bezovtalik vektori - Codeword2 birinchi bo'lib Jutla va Pattak tomonidan bildirilgan
  42. ^ SHA-1 to'qnashuvlari endi 2 ^ 52
  43. ^ "Kriptologiya ePrint arxivi: Hisobot 2009/259".
  44. ^ MD5 & SHA-1 ning kriptanalizi
  45. ^ "SHA-1 to'qnashuvlarini qachon ko'ramiz? - Shnayer xavfsizlik to'g'risida".
  46. ^ "Google Project Hosting".
  47. ^ Mark Stivens (2012-06-19). "Hash funktsiyalari va dasturlariga hujumlar" (PDF). Doktorlik dissertatsiyasi.
  48. ^ Leurent, Gaetan; Peyrin, Tomas (2019). "To'qnashuvlardan tanlangan prefiks to'qnashuviga qadar bo'lgan dastur to'liq SHA-1gacha" (PDF). Kriptologiya sohasidagi yutuqlar - EUROCRYPT 2019. Kompyuter fanidan ma'ruza matnlari. 11478. 527-555-betlar. doi:10.1007/978-3-030-17659-4_18. ISBN  978-3-030-17658-7.
  49. ^ Gaëtan Leurent; Tomas Peyrin (2019-04-24). "To'qnashuvlardan tanlangan prefiks to'qnashuvlarigacha - to'liq SHA-1gacha ariza" (PDF). Eurocrypt 2019.
  50. ^ Gaëtan Leurent; Tomas Peyrin (2020-01-05). "SHA-1 - bu SHA-1da tanlangan prefiks bilan to'qnashuv va PGP Trust veb-saytiga ariza berish" (PDF). Kriptologiya ePrint arxivi, 2020/014 yilgi hisobot.
  51. ^ Chabaud, Florent; Joux, Antuan (1998). Krawchyk, Ugo (tahrir). SHA-0 dagi differentsial to'qnashuvlar (PDF). Kriptologiya sohasidagi yutuqlar - CRYPTO 1998. Kompyuter fanidan ma'ruza matnlari. 1462. Springer. 56-71 betlar. CiteSeerX  10.1.1.138.5141. doi:10.1007 / bfb0055720. ISBN  9783540648925.
  52. ^ Biham, Eli; Chen, Rafi. "SHA-0 yaqinidagi to'qnashuvlar" (PDF).
  53. ^ "Kripto 2004 dan hisobot". Arxivlandi asl nusxasi 2004-08-21.
  54. ^ Grieu, Fransua (2004 yil 18-avgust). "Re: Kripto rump sessiyasidan oldingi yangiliklar bormi?". Yangiliklar guruhisci.crypt. Hodisa soat 05:06:02 +0200 da sodir bo'ladi. Usenet:  [email protected].
  55. ^ SHA-0-da to'qnashuvni samarali qidirish hujumlari Arxivlandi 2005-09-10 da Orqaga qaytish mashinasi, Shandun universiteti
  56. ^ Manuel, Stefan; Peyrin, Tomas (2008-02-11). "Bir soat ichida SHA-0 ustidagi to'qnashuvlar" (PDF). Dasturiy ta'minotni tezkor shifrlash. Kompyuter fanidan ma'ruza matnlari. 5086. 16-35 betlar. doi:10.1007/978-3-540-71039-4_2. ISBN  978-3-540-71038-7.
  57. ^ "SHIST-SHA-1 tomonidan ta'minlangan xavfsiz xashlash funktsiyalari va xavfsizlikning davomiyligi bo'yicha so'nggi kriptanalitik hujumlar to'g'risida NISTning qisqacha sharhlari" (PDF). Arxivlandi asl nusxasi (PDF) 2011-06-04 da. Olingan 2010-05-05.
  58. ^ "RFC 3174 - AQSh xavfsiz xash algoritmi 1 (SHA1)".
  59. ^ Loktyuxin, Maks; Farrel, Keti (2010-03-31), "Xashsiz algoritm (SHA-1) algoritmining ish faoliyatini yaxshilash", Intel dasturiy ta'minotini bilish bazasi, olingan 2010-04-02
  60. ^ "O'lchovlar jadvali". bench.cr.yp.to.
  61. ^ Tao, Xie; Lyu, Fanbao; Feng, Dengguo (2013). MD5-da tez to'qnashuv hujumi (PDF). Kriptologiya ePrint arxivi (Texnik hisobot). IACR.
  62. ^ Stivens, Mark; Bursztein, Eli; Karpman, Per; Albertini, Anj; Markov, Yarik. To'liq SHA-1 uchun birinchi to'qnashuv (PDF) (Texnik hisobot). Google tadqiqotlari. XulosaGoogle Xavfsizlik blogi (2017 yil 23-fevral).
  63. ^ Kesishsiz, to'qnashuv qarshiligidan qat'i nazar, xash funktsiyasining to'liq ichki holati ma'lum. Agar chiqish qisqartirilsa, xash funktsiyasini tiklashdan oldin holatning olib tashlangan qismini qidirish va topish kerak, bu hujumni davom ettirishga imkon beradi.
  64. ^ "Kechcak shimgichni oilasi". Olingan 2016-01-27.
  65. ^ "ARM Cortex-A53 MPCore protsessori texnik qo'llanmasi Kriptografik kengaytma".

Adabiyotlar

Tashqi havolalar