Điểm:0

Có phải giấy Shattered của google (Vụ va chạm đầu tiên cho SHA-1 đầy đủ) có nghĩa là tạo một tệp mới có cùng hàm băm như tệp gốc không?

lá cờ es

Tôi có dữ liệu nguồn A và hàm băm H(A) của A này. Tài liệu bị hỏng của google có thể tạo dữ liệu B mới để tạo ra H(A) này không?

Phương pháp1,2

++ Tôi hiểu rằng nội dung của bài báo là bổ sung hai khối tin nhắn để CV cuối cùng giống nhau. Phương pháp tôi nghĩ đến là liệu có thể tìm thấy chính xác M2(2) của "Tệp giả" để CV2 của "Tệp gốc" và "Tệp giả" xuất ra giống như trong Phương thức 1 trong ảnh hay chỉ tạo CV2 giống như trong Method2 thông qua tìm M1(2), M2(2) mới.

Khối tin nhắn 64 byte là dữ liệu vô nghĩa. Do đó, tệp không phải mở bình thường.

Định dạng của tệp không giới hạn ở PDF.

kelalaka avatar
lá cờ in
Điều này có trả lời câu hỏi của bạn không? [Có phải "Shattered" thực sự cho thấy chứng chỉ có chữ ký SHA-1 là "không an toàn"?](https://crypto.stackexchange.com/questions/60640/does-shattered-actually-show-sha-1-signed-certificates- không an toàn) Đó là một cuộc tấn công va chạm, những gì bạn mô tả là một cuộc tấn công hình ảnh thứ cấp.
Daniel S avatar
lá cờ ru
Không. Những gì bạn đang mô tả sẽ là một cuộc tấn công [tấn công trước hình ảnh thứ hai](https://en.wikipedia.org/wiki/Preimage_attack) khó hơn nhiều so với một cuộc tấn công va chạm cơ bản trong đó cả hai nguồn dữ liệu đều nằm dưới sự kiểm soát của kẻ tấn công. Cuộc tấn công trước hình ảnh thứ hai của AFAIK SHA1 sẽ mất khoảng $2^{160}$ đánh giá hàm băm, điều này hoàn toàn không khả thi.
lá cờ es
@DanielS Tôi đã thêm một chút nội dung và tải nó lên. Tôi sẽ đánh giá cao nếu bạn có thể trả lời câu hỏi của tôi.
kelalaka avatar
lá cờ in
Bạn có thể đọc bản dupe hoặc https://shattered.io/ không? Các tệp PDF có một số phần linh hoạt có thể mang dữ liệu tùy ý mà không phá vỡ định dạng. Tất cả được giải thích trong bài báo. quá.
Daniel S avatar
lá cờ ru
Tôi không đồng ý rằng đây là một bản sao của câu hỏi chứng chỉ. Không có câu trả lời nào cho câu hỏi về chứng chỉ đề cập đến bất kỳ điều gì về sự khác biệt giữa một vụ va chạm và một cuộc tấn công tiền định thứ hai. Tôi đã bỏ phiếu để giữ cho điều này mở.
kelalaka avatar
lá cờ in
@DanielS Chứng chỉ cần hàm băm, vì vậy nó đã qua mặt. Câu trả lời của Squamish Ossifrage đã được đề cập rằng đó là cuộc tấn công va chạm, tôi nghĩ rằng chúng ta không cần câu trả lời để dạy sự khác biệt của hình ảnh trước thứ hai và cuộc tấn công va chạm. đây là một cái khác [Vấn đề phức tạp](https://crypto.stackexchange.com/q/48289/18298), [cái khác](https://crypto.stackexchange.com/a/16587/18298), [cái khác]( https://crypto.stackexchange.com/q/44502/18298)
Điểm:3
lá cờ ru

Không. Những gì bạn mô tả sẽ là một cuộc tấn công trước hình ảnh thứ hai, trong khi nhóm google tạo ra một cuộc tấn công va chạm. trong SHAttered Bài báo "Vụ va chạm đầy đủ đầu tiên trên SHA1" của Mark Stevens et al. nơi các trạng thái đó được trích dẫn trong phương pháp 1 của bạn, các tác giả lần đầu tiên có thể chọn đồng thời $M_1^{(1)}$$M_1^{(2)}$ gây nhiễu loạn nhẹ cho cái này hay cái kia cho đến khi một cặp giá trị gần nhau $CV_1^{(1)}$$CV_1^{(2)}$ Đã được sản xuất. Trong kịch bản của bạn $M_1^{(1)}$ sẽ được cố định và chỉ $M_1^{(2)}$ có thể được điều chỉnh làm cho việc tìm gần khó hơn nhiều $CV_1$ các giá trị. Tương tự như vậy, trong bước thứ hai, các nhà nghiên cứu đã có thể gây nhiễu cả hai $M_2^{(1)}$$M_2^{(2)}$ để tìm toàn bộ vụ va chạm, nhưng trong trường hợp của bạn, kẻ tấn công sẽ chỉ có thể điều chỉnh $M_2^{(2)}$.

Sự khác biệt về độ khó của những thử thách này là việc tìm kiếm hình ảnh trước thứ hai cho SHA1 vẫn có khả năng mất khoảng $2^{160}$ đánh giá hàm băm. Nó giống như sự khác biệt giữa xác suất tìm thấy hai người trong phòng có cùng ngày sinhxác suất tìm thấy ai đó trong phòng có cùng ngày sinh với bạn.

Công việc gần đây hơn ("SHA1 là một sự hỗn loạn" của Leurent và Peyrin) chỉ ra rằng điều đó là có thể để kẻ tấn công lấy một tệp tùy ý và nối thêm dữ liệu mà chúng kiểm soát vào cả tệp của bạn và của chúng theo cách tạo ra cùng một giá trị SHA1 cho cả hai tệp. Đây được biết đến như một va chạm tiền tố đã chọn và vẫn là bằng chứng mạnh mẽ hơn cho thấy SHA1 cần phải bị phản đối.

Lưu ý: Bảng giá trị byte của bạn gắn nhãn cả bên trái và bên phải là $M_1^{(2)}$ và tôi đã hoàn nguyên về ký hiệu của bài báo SHAttered. Tôi không chắc về nguồn gốc của bảng thứ hai của bạn.

fgrieu avatar
lá cờ ng
"Không" của câu trả lời này đang đưa ra các giả định chưa kể về A không rõ ràng trong câu hỏi. Điều đó được chứng minh bằng [A](https://shattered.io/static/shattered-1.pdf) và [B](https://shattered.io/static/shattered-2.pdf) phù hợp này. > Không rõ chính xác phải đặt bao nhiêu giả định để câu trả lời "Không" này đúng, và đó là cách tôi đã chọn để đọc câu hỏi.
Daniel S avatar
lá cờ ru
@fgrieu Có thể bạn nói đúng. Về phần mình, tôi cảm thấy rằng vấn đề chung về tiền hình ảnh thứ hai tiềm ẩn trong các từ "mới" và "nguyên bản". Trong mọi trường hợp, tôi hy vọng rằng giữa chúng tôi, chúng tôi đã nói được điều gì đó hữu ích cho người hỏi.
Điểm:2
lá cờ ng

Cuộc tấn công Shattered tìm thấy một tệp/tin nhắn B khác có cùng hàm băm SHA-1 như một tệp/tin nhắn A, nhưng chỉ khi một số phần dữ liệu trong A có đặc điểm sẽ không ngẫu nhiên xảy ra. Đối với hầu hết các định dạng tệp/ngữ nghĩa dữ liệu, điều đó vẫn cho phép các đối thủ tấn công không thể thay đổi ý nghĩa/hình thức/tác dụng của A, nhưng có thể ảnh hưởng một chút đến nội dung nhị phân của A.


Tôi có dữ liệu nguồn A và hàm băm H(A) của A này. Tài liệu bị hỏng của google có thể tạo dữ liệu B mới để tạo ra H(A) này không?

Câu trả lời phụ thuộc vào dữ liệu A, bản thân dữ liệu này phụ thuộc vào cách A được lấy hoặc tạo ra, điều mà câu hỏi không nêu hoặc không cho phép đoán.

  1. Đúng, không cần nỗ lực tính toán, nếu A bắt đầu bằng một trong hai giá trị 320 byte cụ thể mà cuộc tấn công Shattered đã đưa ra. Chúng ta chỉ có thể thay thế cái này bằng cái kia để tạo thành B với cùng hàm băm SHA-1. Điều này có thể (trong số những thứ khác) được sử dụng để dễ dàng tạo hai tệp PDF hợp lệ khác nhau với nội dung byte hơi khác nhau và giao diện trực quan hoàn toàn khác nhau.
  2. Không, nếu A nhỏ hơn khoảng 125 byte, khi tuân theo phương thức trong bài báo Shattered, ngay cả với nỗ lực tính toán của họ. Nhưng chúng ta phải giảm giới hạn đó xuống khoảng 19 byte nếu chúng ta thay đổi phương pháp và chấp nhận tăng nỗ lực tính toán theo một hệ số khiêm tốn (khoảng 250 nghìn) lên khoảng $2^{81}$ Băm SHA-1.
  3. Đúng, với nỗ lực tính toán của Shattered, nếu kẻ thù có thể chọn 128 byte đầu tiên của A. Đó vẫn là cuộc tấn công Shattered, nhưng nó đòi hỏi công việc khá lớn. Chúng tôi có thể hạ giới hạn đó xuống 64 byte là chúng tôi chấp nhận sự gia tăng nỗ lực tính toán của điểm trước đó.
  4. Đúng, như một phần mở rộng của 3, nếu đối thủ biết điều đầu tiên $n$ byte của A và có thể chọn tiếp theo $128+(-n\bmod 64)$ byte. Và chúng ta phải hạ thấp nó xuống $64+(-n\bmod 64)$ byte với nỗ lực tính toán tăng lên. Điều này có thể được mở rộng hơn nữa cho kẻ thù chọn thông tin có giá trị khoảng 20 byte trong bất kỳ lần đầu tiên nào. $64\,f$ byte của A với kiến ​​thức về phần đó của A và tăng thêm công việc theo hệ số không lớn hơn $f$.
  5. Đúng, là hệ quả của 4, nếu A được chuẩn bị theo cách dưới sự kiểm soát của đối thủ, ví dụ: nếu A là tài liệu PDF, hình ảnh PNG, hình ảnh "ISO" của CD/DVD, có thể là tệp thực thi được chuẩn bị bằng các công cụ do kẻ thù tạo ra. Đối với chứng chỉ kỹ thuật số, xem câu hỏi này.
  6. Không, nếu A vượt qua bài kiểm tra do tác giả Shattered cung cấp và chúng tôi tuân theo phương pháp tấn công của họ. Nhưng thử nghiệm của họ không thể bảo vệ chống lại các cuộc tấn công khác có chi phí tương đương và không có thử nghiệm nào có thể bảo vệ chống lại các cuộc tấn công với chi phí tăng nhẹ.
  7. Không, nếu có ít nhất 64 bit entropy trong 64 byte đầu tiên của A mà kẻ thù không biết tại thời điểm mà kẻ thù có thể ảnh hưởng đến A, cho bất kỳ nỗ lực tính toán khả thi nào. Điều đó bao gồm A ngẫu nhiên và chứng chỉ kỹ thuật số do cơ quan cấp chứng chỉ cấp bằng biện pháp phòng ngừa đơn giản là sử dụng số sê-ri ngẫu nhiên khi bắt đầu chứng chỉ.

Tôi muốn đảm bảo rằng định dạng của tệp không bị giới hạn ở PDF.

Phần mở rộng và cuộc tấn công Shattered không giới hạn ở PDF, xem 3/4/5. Nó có thể được thực hiện (với một số công việc) với bất kỳ định dạng tệp nào mà không cần kiểm tra dự phòng bên trong; đó là, hầu hết. Hơn nữa, các tiền tố tương tự như 1 (chuyên dùng để giả mạo PDF rẻ tiền) có thể được tạo ra cho nhiều định dạng bao gồm JPEG, PNG, GIF, MP4, JPEG2000, định dạng Portable Excutable, v.v., với công việc khá lớn nhưng khả thi chỉ được thực hiện Một lần. Các tiền tố của 1 thậm chí hoạt động với một số định dạng tệp hiện có, ví dụ:. âm thanh và video cho trình phát bỏ qua những gì họ không nhận ra (vì câu hỏi không yêu cầu A và B khác nhau hoạt động khác nhau; điều đó khó đạt được với các tiền tố 1 cho thứ không phải PDF và trình phát tiêu chuẩn không được tạo ra cho mục đích này).

Nếu nghi ngờ: an toàn hơn là xin lỗi, hãy giả sử rằng có thể tấn công và sử dụng hàm băm không bị gián đoạn và rộng hơn đáng kể so với SHA-1


(nguyên tắc) của bài báo là bổ sung hai khối tin nhắn

Không chính xác. Nó được bổ sung một vài bit trong hai liên tiếp khối thông báo (mỗi khối 64 byte), nội dung nào được chọn (với công việc khá lớn nhưng khả thi) làm hàm của trạng thái băm trước khi xử lý hai khối thông báo này. Do đó, nội dung của hai khối thông báo này trong A không phải là tùy ý, nó phải khớp với 128 byte được tính toán một cách đau đớn này. Sự trùng khớp như vậy sẽ không xảy ra một cách tình cờ (ví dụ: đối với A ngẫu nhiên), nó yêu cầu một số quyền kiểm soát đối với A và kiến ​​thức về trạng thái của hàm băm trước khi băm hai khối này. Kiến thức như vậy có thể thu được bằng cách biết một phần của thông báo A trước hai khối A này mà người ta phải chọn để thực hiện cuộc tấn công.

Một cuộc tấn công hoạt động cho A tùy ý sẽ là một cuộc tấn công tiền định (thứ hai). Cuộc tấn công như vậy không được biết đến với SHA-1.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.