SHA-1 - SHA-1
Algoritmos hash seguros | |
---|---|
Conceptos | |
funciones hash · SHA · DSA | |
Estándares principales | |
SHA-0 · SHA-1 · SHA-2 · SHA-3 | |
General | |
---|---|
Diseñadores | Agencia de Seguridad Nacional |
Publicado por primera vez | 1993 (SHA-0), 1995 (SHA-1) |
Serie | ( SHA-0 ), SHA-1, SHA-2 , SHA-3 |
Certificación | FIPS PUB 180-4, CRYPTREC (supervisado) |
Detalle de cifrado | |
Tamaños de resumen | 160 bits |
Tamaños de bloque | 512 bits |
Estructura | Construcción Merkle – Damgård |
Rondas | 80 |
Mejor criptoanálisis público | |
Un ataque de 2011 de Marc Stevens puede producir colisiones hash con una complejidad entre 2 60,3 y 2 65,3 operaciones. La primera colisión pública se publicó el 23 de febrero de 2017. SHA-1 es propenso a ataques de extensión de longitud . |
En criptografía , SHA-1 ( algoritmo hash seguro 1 ) es una función hash criptográfica que toma una entrada y produce un valor hash de 160 bits (20 bytes ) conocido como resumen de mensaje , que normalmente se representa como un número hexadecimal de 40 dígitos. . Fue diseñado por la Agencia de Seguridad Nacional de los Estados Unidos y es un Estándar Federal de Procesamiento de Información de los EE. UU .
Desde 2005, SHA-1 no se ha considerado seguro contra oponentes bien financiados; a partir de 2010 muchas organizaciones han recomendado su reemplazo. NIST desaprobó formalmente el uso de SHA-1 en 2011 y prohibió su uso para firmas digitales en 2013. A partir de 2020, los ataques de prefijo elegido contra SHA-1 son prácticos. Como tal, se recomienda eliminar SHA-1 de los productos lo antes posible y en su lugar usar SHA-2 o SHA-3 . Reemplazar SHA-1 es urgente cuando se usa para firmas digitales .
Todos los principales proveedores de navegadores web dejaron de aceptar los certificados SSL SHA-1 en 2017. En febrero de 2017, CWI Amsterdam y Google anunciaron que habían realizado un ataque de colisión contra SHA-1, publicando dos archivos PDF diferentes que producían el mismo hash SHA-1. Sin embargo, SHA-1 sigue siendo seguro para HMAC .
Microsoft ha descontinuado el soporte de firma de código SHA-1 para Windows Update el 7 de agosto de 2020.
Desarrollo
SHA-1 produce un resumen de mensajes basado en principios similares a los utilizados por Ronald L. Rivest del MIT en el diseño de los algoritmos de resumen de mensajes MD2 , MD4 y MD5 , pero genera un valor hash mayor (160 bits frente a 128 bits).
SHA-1 se desarrolló como parte del proyecto Capstone del gobierno de EE. UU . La especificación original del algoritmo fue publicada en 1993 bajo el título Secure Hash Standard , FIPS PUB 180, por la agencia de estándares del gobierno de EE. UU. NIST (Instituto Nacional de Estándares y Tecnología). Esta versión ahora se llama a menudo SHA-0 . Fue retirado por la NSA poco después de su publicación y fue reemplazado por la versión revisada, publicada en 1995 en FIPS PUB 180-1 y comúnmente designada como SHA-1 . SHA-1 se diferencia de SHA-0 solo por una única rotación bit a bit en la programación de mensajes de su función de compresión . Según la NSA, esto se hizo para corregir una falla en el algoritmo original que reducía su seguridad criptográfica, pero no brindaron más explicaciones. Las técnicas disponibles públicamente demostraron de hecho un compromiso de SHA-0, en 2004, antes de SHA-1 en 2017. Ver #Attacks
Aplicaciones
Criptografía
SHA-1 forma parte de varias aplicaciones y protocolos de seguridad ampliamente utilizados, incluidos TLS y SSL , PGP , SSH , S / MIME e IPsec . Estas aplicaciones también pueden utilizar MD5 ; tanto MD5 como SHA-1 descienden de MD4 .
SHA-1 y SHA-2 son los algoritmos hash requeridos por ley para su uso en ciertas aplicaciones del gobierno de EE. UU. , Incluido el uso dentro de otros algoritmos y protocolos criptográficos, para la protección de información confidencial no clasificada. FIPS PUB 180-1 también alentó la adopción y el uso de SHA-1 por organizaciones privadas y comerciales. SHA-1 se está retirando de la mayoría de los usos gubernamentales; el Instituto Nacional de Estándares y Tecnología de EE. UU. dijo: "Las agencias federales deben dejar de usar SHA-1 para ... aplicaciones que requieren resistencia a colisiones tan pronto como sea posible, y deben usar la familia SHA-2 de funciones hash para estas aplicaciones después de 2010". (énfasis en el original), aunque luego se relajó para permitir que SHA-1 se usara para verificar firmas digitales antiguas y sellos de tiempo.
Una de las principales motivaciones para la publicación del algoritmo de hash seguro fue el estándar de firma digital , en el que está incorporado.
Las funciones hash SHA se han utilizado para la base de los cifrados de bloques SHACAL .
Integridad de los datos
Los sistemas de control de revisiones como Git , Mercurial y Monotone usan SHA-1, no por seguridad, sino para identificar revisiones y garantizar que los datos no hayan cambiado debido a daños accidentales. Linus Torvalds dijo sobre Git:
- Si tiene daños en el disco, si tiene daños en la DRAM, si tiene algún tipo de problema, Git lo notará. No se trata de si , es una garantía. Puede haber personas que intenten ser maliciosas. No lo conseguirán. ... Nadie ha podido romper SHA-1, pero el punto es que SHA-1, en lo que respecta a Git, ni siquiera es una característica de seguridad. Es puramente una verificación de consistencia. Las partes de seguridad están en otra parte, por lo que mucha gente asume que dado que Git usa SHA-1 y SHA-1 se usa para cosas criptográficamente seguras, piensan que, está bien, es una característica de seguridad enorme. No tiene nada que ver con la seguridad, es el mejor hash que puede obtener. ...
- Te garantizo que, si pones tus datos en Git, puedes confiar en el hecho de que cinco años después, después de que se convirtió de tu disco duro a DVD a cualquier nueva tecnología y lo copiaste, cinco años después puedes verificar que el los datos que recupera son exactamente los mismos datos que ingresó. ...
- Una de las razones por las que me preocupo es por el kernel, tuvimos un robo en uno de los sitios de BitKeeper donde la gente intentó corromper los repositorios de código fuente del kernel. Sin embargo, Git no requiere la segunda resistencia de preimagen de SHA-1 como característica de seguridad, ya que siempre preferirá mantener la versión más antigua de un objeto en caso de colisión, evitando que un atacante sobrescriba archivos subrepticiamente.
Criptoanálisis y validación
Para una función hash para la que L es el número de bits en el resumen del mensaje, siempre se puede encontrar un mensaje que corresponda a un resumen de mensaje dado mediante una búsqueda de fuerza bruta en aproximadamente 2 L evaluaciones. Esto se denomina ataque de preimagen y puede ser práctico o no según L y el entorno informático particular. Sin embargo, una colisión , que consiste en encontrar dos mensajes diferentes que produzcan el mismo resumen de mensajes, requiere en promedio solo alrededor de 1.2 × 2 L / 2 evaluaciones usando un ataque de cumpleaños . Por lo tanto, la fuerza de una función hash generalmente se compara con un cifrado simétrico de la mitad de la longitud del resumen del mensaje. Se pensó originalmente que SHA-1, que tiene un resumen de mensajes de 160 bits, tenía una potencia de 80 bits.
En 2005, los criptógrafos Xiaoyun Wang , Yiqun Lisa Yin y Hongbo Yu produjeron pares de colisiones para SHA-0 y han encontrado algoritmos que deberían producir colisiones SHA-1 en mucho menos de las 2 80 evaluaciones originalmente esperadas .
Algunas de las aplicaciones que utilizan hashes criptográficos, como el almacenamiento de contraseñas, solo se ven mínimamente afectadas por un ataque de colisión. La construcción de una contraseña que funcione para una cuenta determinada requiere un ataque de preimagen , así como el acceso al hash de la contraseña original, que puede ser o no trivial. Los ataques no permiten invertir el cifrado de contraseñas (por ejemplo, obtener una contraseña para intentar contra la cuenta de un usuario en otro lugar). (Sin embargo, incluso un hash de contraseña seguro no puede evitar ataques de fuerza bruta en contraseñas débiles ).
En el caso de la firma de documentos, un atacante no podría simplemente falsificar una firma de un documento existente: el atacante tendría que producir un par de documentos, uno inocuo y otro dañino, y hacer que el titular de la clave privada firme el documento inocuo. Hay circunstancias prácticas en las que esto es posible; hasta finales de 2008, era posible crear certificados SSL falsificados utilizando una colisión MD5 .
Debido al bloque y la estructura iterativa de los algoritmos y la ausencia de pasos finales adicionales, todas las funciones SHA (excepto SHA-3) son vulnerables a ataques de colisión de mensajes parciales y extensión de longitud . Estos ataques permiten a un atacante falsificar un mensaje firmado solo por un hash con clave - SHA ( mensaje || clave ) o SHA ( clave || mensaje ) - extendiendo el mensaje y recalculando el hash sin conocer la clave. Una mejora simple para prevenir estos ataques es hash dos veces: SHA d ( mensaje ) = SHA (SHA (0 b || mensaje )) (la longitud de 0 b , bloque cero, es igual al tamaño de bloque de la función hash) .
Ataques
A principios de 2005, Vincent Rijmen y Elisabeth Oswald publicaron un ataque a una versión reducida de SHA-1 - 53 de 80 rondas - que encuentra colisiones con un esfuerzo computacional de menos de 2 80 operaciones.
En febrero de 2005, se anunció un ataque de Xiaoyun Wang , Yiqun Lisa Yin y Hongbo Yu. Los ataques pueden encontrar colisiones en la versión completa de SHA-1, requiriendo menos de 2 69 operaciones. (Una búsqueda por fuerza bruta requeriría 2 80 operaciones).
Los autores escriben: "En particular, nuestro análisis se basa en el ataque diferencial original en SHA-0, el ataque de casi colisión en SHA-0, las técnicas de colisión multibloque, así como las técnicas de modificación de mensajes utilizadas en el ataque de búsqueda de colisión en MD5. Romper SHA-1 no sería posible sin estas poderosas técnicas analíticas ". Los autores han presentado una colisión para SHA-1 de 58 rondas, encontrada con 2 33 operaciones hash. El documento con la descripción completa del ataque se publicó en agosto de 2005 en la conferencia CRYPTO.
En una entrevista, Yin afirma que, "Aproximadamente, aprovechamos las siguientes dos debilidades: una es que el paso de preprocesamiento del archivo no es lo suficientemente complicado; otra es que ciertas operaciones matemáticas en las primeras 20 rondas tienen problemas de seguridad inesperados".
El 17 de agosto de 2005, se anunció una mejora en el ataque SHA-1 en nombre de Xiaoyun Wang , Andrew Yao y Frances Yao en la CRYPTO 2005 Rump Session, reduciendo la complejidad requerida para encontrar una colisión en SHA-1 a 2 63 . El 18 de diciembre de 2007 Martin Cochran explicó y verificó los detalles de este resultado.
Christophe De Cannière y Christian Rechberger mejoraron aún más el ataque a SHA-1 en "Finding SHA-1 Characteristics: General Results and Applications", recibiendo el premio al mejor artículo en ASIACRYPT 2006. Una colisión de dos bloques para 64 rondas SHA-1 fue presentado, encontrado usando métodos no optimizados con 2 35 evaluaciones de función de compresión. Dado que este ataque requiere el equivalente a unas 2 35 evaluaciones, se considera una ruptura teórica significativa. Su ataque se extendió aún más a 73 rondas (de 80) en 2010 por Grechnikov. Sin embargo, para encontrar una colisión real en las 80 rondas completas de la función hash, se requieren enormes cantidades de tiempo de computadora. Con ese fin, una búsqueda de colisión para SHA-1 utilizando la plataforma de computación distribuida BOINC comenzó el 8 de agosto de 2007, organizada por la Universidad Tecnológica de Graz . El esfuerzo se abandonó el 12 de mayo de 2009 debido a la falta de progreso.
En la Rump Session de CRYPTO 2006, Christian Rechberger y Christophe De Cannière afirmaron haber descubierto un ataque de colisión en SHA-1 que permitiría a un atacante seleccionar al menos partes del mensaje.
En 2008, una metodología de ataque de Stéphane Manuel informó colisiones de hash con una complejidad teórica estimada de 2 51 a 2 57 operaciones. Sin embargo, más tarde se retractó de esa afirmación después de descubrir que las rutas de colisión locales no eran realmente independientes y, finalmente, citó el vector de colisión más eficiente que ya se conocía antes de este trabajo.
Cameron McDonald, Philip Hawkes y Josef Pieprzyk presentaron un ataque de colisión hash con una supuesta complejidad 2 52 en la Rump Session de Eurocrypt 2009. Sin embargo, el documento adjunto, "Differential Path for SHA-1 con complejidad O (2 52 )" ha sido retirado debido al descubrimiento de los autores de que su estimación era incorrecta.
Un ataque contra SHA-1 fue Marc Stevens con un costo estimado de 2,77 millones de dólares (2012) para romper un valor hash único alquilando la potencia de la CPU de los servidores en la nube. Stevens desarrolló este ataque en un proyecto llamado HashClash, implementando un ataque de ruta diferencial. El 8 de noviembre de 2010, afirmó que tenía un ataque de casi colisión en pleno funcionamiento contra SHA-1 completo en funcionamiento con una complejidad estimada equivalente a 2 57.5 compresiones SHA-1. Estimó que este ataque podría extenderse a una colisión completa con una complejidad de alrededor de 2 61 .
El SHAppening
El 8 de octubre de 2015, Marc Stevens, Pierre Karpman y Thomas Peyrin publicaron un ataque de colisión de inicio libre en la función de compresión de SHA-1 que requiere solo 2 57 evaluaciones de SHA-1. Esto no se traduce directamente en una colisión en la función hash SHA-1 completa (donde un atacante no puede elegir libremente el estado interno inicial), pero socava las afirmaciones de seguridad para SHA-1. En particular, fue la primera vez que se demostró un ataque contra SHA-1 completo ; todos los ataques anteriores fueron demasiado costosos para que sus autores los llevaran a cabo. Los autores nombraron este avance significativo en el criptoanálisis de SHA-1 The SHAppening .
El método se basó en su trabajo anterior, así como en la técnica de aceleración de rutas auxiliares (o bumeranes) de Joux y Peyrin, y en el uso de tarjetas GPU rentables y de alto rendimiento de NVIDIA . La colisión se encontró en un clúster de 16 nodos con un total de 64 tarjetas gráficas. Los autores estimaron que se podría encontrar una colisión similar comprando US $ 2,000 de tiempo de GPU en EC2 .
Los autores estimaron que el costo de alquilar suficiente tiempo de CPU / GPU EC2 para generar una colisión completa para SHA-1 en el momento de la publicación estaba entre US $ 75K y 120K, y señalaron que estaba dentro del presupuesto de las organizaciones criminales, no para mencionar las agencias nacionales de inteligencia . Como tal, los autores recomendaron que SHA-1 se desaproveche lo antes posible.
SHAtter: primera colisión pública
El 23 de febrero de 2017, el CWI (Centrum Wiskunde & Informatica) y Google anunciaron el ataque SHAtter , en el que generaron dos archivos PDF diferentes con el mismo hash SHA-1 en aproximadamente 2 63.1 evaluaciones SHA-1. Este ataque es aproximadamente 100.000 veces más rápido que la fuerza bruta de una colisión SHA-1 con un ataque de cumpleaños , que se estimó en 2 80 evaluaciones SHA-1. El ataque requirió "la potencia de procesamiento equivalente a 6.500 años de cálculos con una sola CPU y 110 años de cálculos con una sola GPU".
Ataque de cumpleaños cercano a la colisión: primer ataque práctico de prefijo elegido
El 24 de abril de 2019, un artículo de Gaëtan Leurent y Thomas Peyrin presentado en Eurocrypt 2019 describió una mejora del ataque de prefijo elegido anteriormente en funciones de digestión similares a Merkle-Damgård basadas en cifrados de bloque de Davies-Meyer . Con estas mejoras, este método es capaz de encontrar colisiones de prefijo elegido en aproximadamente 2 68 evaluaciones SHA-1. Esto es aproximadamente mil millones de veces más rápido (y ahora se puede usar para muchos ataques dirigidos, gracias a la posibilidad de elegir un prefijo, por ejemplo, código malicioso o identidades falsas en certificados firmados) que las evaluaciones 2 77.1 del ataque anterior (pero sin el prefijo elegido, que fue impráctico para la mayoría de los ataques dirigidos porque las colisiones encontradas fueron casi aleatorias) y es lo suficientemente rápido como para ser práctico para atacantes con recursos, requiriendo aproximadamente $ 100,000 de procesamiento en la nube. Este método también es capaz de encontrar colisiones de prefijo elegido en la función MD5 , pero con una complejidad de 2 46,3 no supera el mejor método disponible anterior a nivel teórico (2 39 ), aunque potencialmente a nivel práctico (≤2 49 ). Este ataque tiene un requisito de memoria de más de 500 GB.
El 5 de enero de 2020, los autores publicaron un ataque mejorado. En este artículo demuestran un ataque de colisión de prefijo elegido con una complejidad de 2 63,4 , que en el momento de la publicación costaría 45k USD por colisión generada.
SHA-0
En CRYPTO 98, dos investigadores franceses, Florent Chabaud y Antoine Joux , presentaron un ataque a SHA-0: se pueden encontrar colisiones con complejidad 2 61 , menos de 2 80 para una función hash ideal del mismo tamaño.
En 2004, Biham y Chen encontraron casi colisiones para SHA-0, dos mensajes que tienen casi el mismo valor; en este caso, 142 de los 160 bits son iguales. También encontraron colisiones completas de SHA-0 reducidas a 62 de sus 80 rondas.
Posteriormente, el 12 de agosto de 2004, Joux, Carribault, Lemuet y Jalby anunciaron una colisión para el algoritmo SHA-0 completo. Esto se hizo utilizando una generalización del ataque de Chabaud y Joux. Encontrar la colisión tuvo una complejidad 2 51 y tomó alrededor de 80.000 horas de procesador en una supercomputadora con 256 procesadores Itanium 2 (equivalente a 13 días de uso a tiempo completo de la computadora).
El 17 de agosto de 2004, en la Sesión Rump de CRYPTO 2004, Wang , Feng, Lai y Yu anunciaron los resultados preliminares sobre un ataque a MD5 , SHA-0 y otras funciones hash. La complejidad de su ataque a SHA-0 es 2 40 , significativamente mejor que el ataque de Joux et al.
En febrero de 2005, se anunció un ataque de Xiaoyun Wang , Yiqun Lisa Yin y Hongbo Yu que podría encontrar colisiones en SHA-0 en 2 39 operaciones.
Otro ataque en 2008 que aplicó el ataque boomerang redujo la complejidad de encontrar colisiones a 2 33,6 , lo que se estimó en 1 hora en una PC promedio a partir del año 2008.
A la luz de los resultados de SHA-0, algunos expertos sugirieron que se deberían reconsiderar los planes para el uso de SHA-1 en nuevos criptosistemas . Después de que se publicaron los resultados de CRYPTO 2004, NIST anunció que planeaba eliminar el uso de SHA-1 para 2010 a favor de las variantes de SHA-2.
Validación oficial
Las implementaciones de todas las funciones de seguridad aprobadas por FIPS pueden validarse oficialmente a través del programa CMVP , administrado conjuntamente por el Instituto Nacional de Estándares y Tecnología (NIST) y el Establecimiento de Seguridad de las Comunicaciones (CSE). Para la verificación informal, un paquete para generar una gran cantidad de vectores de prueba está disponible para su descarga en el sitio del NIST; la verificación resultante, sin embargo, no reemplaza la validación formal CMVP, que es requerida por ley para ciertas aplicaciones.
A diciembre de 2013, hay más de 2000 implementaciones validadas de SHA-1, y 14 de ellas pueden manejar mensajes con una longitud en bits que no es múltiplo de ocho (consulte la Lista de validación de SHS ).
Ejemplos y pseudocódigo
Hashes de ejemplo
Estos son ejemplos de resúmenes de mensajes SHA-1 en codificación de texto hexadecimal y binario Base64 a ASCII .
-
SHA1("The quick brown fox jumps over the lazy dog")
Incluso un pequeño cambio en el mensaje, con una probabilidad abrumadora, dará como resultado que muchos bits cambien debido al efecto de avalancha . Por ejemplo, cambiar dog
a cog
produce un hash con diferentes valores para 81 de los 160 bits:
-
SHA1("The quick brown fox jumps over the lazy cog")
El hash de la cadena de longitud cero es:
-
SHA1("")
Pseudocódigo SHA-1
A continuación, se muestra el pseudocódigo para el algoritmo SHA-1:
Note 1: All variables are unsigned 32-bit quantities and wrap modulo 232 when calculating, except for ml, the message length, which is a 64-bit quantity, and hh, the message digest, which is a 160-bit quantity. Note 2: All constants in this pseudo code are in big endian. Within each word, the most significant byte is stored in the leftmost byte position Initialize variables: h0 = 0x67452301 h1 = 0xEFCDAB89 h2 = 0x98BADCFE h3 = 0x10325476 h4 = 0xC3D2E1F0 ml = message length in bits (always a multiple of the number of bits in a character). Pre-processing: append the bit '1' to the message e.g. by adding 0x80 if message length is a multiple of 8 bits. append 0 ≤ k < 512 bits '0', such that the resulting message length in bits is congruent to −64 ≡ 448 (mod 512) append ml, the original message length in bits, as a 64-bit big-endian integer. Thus, the total length is a multiple of 512 bits. Process the message in successive 512-bit chunks: break message into 512-bit chunks for each chunk break chunk into sixteen 32-bit big-endian words w[i], 0 ≤ i ≤ 15 Message schedule: extend the sixteen 32-bit words into eighty 32-bit words: for i from 16 to 79 Note 3: SHA-0 differs by not having this leftrotate. w[i] = (w[i-3] xor w[i-8] xor w[i-14] xor w[i-16]) leftrotate 1 Initialize hash value for this chunk: a = h0 b = h1 c = h2 d = h3 e = h4 Main loop: for i from 0 to 79 if 0 ≤ i ≤ 19 then f = (b and c) or ((not b) and d) k = 0x5A827999 else if 20 ≤ i ≤ 39 f = b xor c xor d k = 0x6ED9EBA1 else if 40 ≤ i ≤ 59 f = (b and c) or (b and d) or (c and d) k = 0x8F1BBCDC else if 60 ≤ i ≤ 79 f = b xor c xor d k = 0xCA62C1D6 temp = (a leftrotate 5) + f + e + k + w[i] e = d d = c c = b leftrotate 30 b = a a = temp Add this chunk's hash to result so far: h0 = h0 + a h1 = h1 + b h2 = h2 + c h3 = h3 + d h4 = h4 + e Produce the final hash value (big-endian) as a 160-bit number: hh = (h0 leftshift 128) or (h1 leftshift 96) or (h2 leftshift 64) or (h3 leftshift 32) or h4
El número hh
es el resumen del mensaje, que se puede escribir en hexadecimal (base 16).
Se asumió que los valores constantes elegidos utilizados en el algoritmo no eran nada en mis números de la manga :
- Las cuatro constantes redondas
k
son 2 30 veces las raíces cuadradas de 2, 3, 5 y 10. Sin embargo, se redondearon incorrectamente al número entero más cercano en lugar de redondearse al número entero impar más cercano, con proporciones equilibradas de cero y uno bits. Además, la elección de la raíz cuadrada de 10 (que no es un número primo) la convirtió en un factor común para las otras dos raíces cuadradas elegidas de los números primos 2 y 5, con propiedades aritméticas posiblemente utilizables en rondas sucesivas, lo que reduce la fuerza del algoritmo contra encontrando colisiones en algunos bits. - Los primeros cuatro valores iniciales para a
h0
travésh3
son los mismos con el algoritmo MD5, y el quinto (parah4
) es similar. Sin embargo, no se verificó adecuadamente que fueran resistentes a la inversión de las primeras rondas para inferir posibles colisiones en algunos bits, utilizables por ataques diferenciales multibloque.
En lugar de la formulación del FIPS PUB 180-1 original que se muestra, se pueden usar las siguientes expresiones equivalentes para calcular f
en el ciclo principal anterior:
Bitwise choice between c and d, controlled by b. (0 ≤ i ≤ 19): f = d xor (b and (c xor d)) (alternative 1) (0 ≤ i ≤ 19): f = (b and c) or ((not b) and d) (alternative 2) (0 ≤ i ≤ 19): f = (b and c) xor ((not b) and d) (alternative 3) (0 ≤ i ≤ 19): f = vec_sel(d, c, b) (alternative 4) [premo08] Bitwise majority function. (40 ≤ i ≤ 59): f = (b and c) or (d and (b or c)) (alternative 1) (40 ≤ i ≤ 59): f = (b and c) or (d and (b xor c)) (alternative 2) (40 ≤ i ≤ 59): f = (b and c) xor (d and (b xor c)) (alternative 3) (40 ≤ i ≤ 59): f = (b and c) xor (b and d) xor (c and d) (alternative 4) (40 ≤ i ≤ 59): f = vec_sel(c, b, c xor d) (alternative 5)
También se demostró que para las rondas 32 a 79 el cálculo de:
w[i] = (w[i-3] xor w[i-8] xor w[i-14] xor w[i-16]) leftrotate 1
se puede reemplazar con:
w[i] = (w[i-6] xor w[i-16] xor w[i-28] xor w[i-32]) leftrotate 2
Esta transformación mantiene alineados todos los operandos de 64 bits y, al eliminar la dependencia de w[i]
on w[i-3]
, permite una implementación SIMD eficiente con una longitud de vector de 4 como instrucciones SSE x86 .
Comparación de funciones SHA
En la siguiente tabla, el estado interno significa la "suma hash interna" después de cada compresión de un bloque de datos.
Algoritmo y variante | Tamaño de salida (bits) |
Tamaño del estado interno (bits) |
Tamaño de bloque (bits) |
Rondas | Operaciones | Seguridad contra ataques de colisión (bits) |
Seguridad contra ataques de extensión de longitud (bits) |
Rendimiento en Skylake ( cpb mediano ) | Publicado por primera vez | ||
---|---|---|---|---|---|---|---|---|---|---|---|
Mensajes largos | 8 bytes | ||||||||||
MD5 (como referencia) | 128 | 128 (4 × 32) |
512 | 64 | Y, Xor, Rot, Add (mod 2 32 ), O | ≤ 18 (colisiones encontradas) |
0 | 4,99 | 55,00 | 1992 | |
SHA-0 | 160 | 160 (5 × 32) |
512 | 80 | Y, Xor, Rot, Add (mod 2 32 ), O | <34 (colisiones encontradas) |
0 | ≈ SHA-1 | ≈ SHA-1 | 1993 | |
SHA-1 | <63 (colisiones encontradas) |
3,47 | 52,00 | 1995 | |||||||
SHA-2 |
SHA-224 SHA-256 |
224 256 |
256 (8 × 32) |
512 | 64 | Y, Xor, Rot, Add (mod 2 32 ), Or, Shr | 112 128 |
32 0 |
7,62 7,63 |
84,50 85,25 |
2004 2001 |
SHA-384 SHA-512 |
384 512 |
512 (8 × 64) |
1024 | 80 | Y, Xor, Rot, Add (mod 2 64 ), Or, Shr | 192 256 |
128 (≤ 384) 0 |
5.12 5.06 |
135,75 135,50 |
2001 | |
SHA-512/224 SHA-512/256 |
224 256 |
112 128 |
288 256 |
≈ SHA-384 | ≈ SHA-384 | 2012 | |||||
SHA-3 |
SHA3-224 SHA3-256 SHA3-384 SHA3-512 |
224 256 384 512 |
1600 (5 × 5 × 64) |
1152 1088 832 576 |
24 | Y, Xor, Rot, No | 112 128 192 256 |
448 512 768 1024 |
8.12 8.59 11.06 15.88 |
154,25 155,50 164,00 164,00 |
2015 |
SHAKE128 SHAKE256 |
d (arbitrario) d (arbitrario) |
1344 1088 |
min ( d / 2, 128) min ( d / 2, 256) |
256 512 |
7.08 8.59 |
155.25 155.50 |
Implementaciones
A continuación, se muestra una lista de bibliotecas de criptografía que admiten SHA-1:
- Botan
- Castillo inflable
- cryptlib
- Cripto ++
- Libgcrypt
- TLS de Mbed
- Ortiga
- LibreSSL
- OpenSSL
- GnuTLS
- SBC Kush
La aceleración de hardware la proporcionan las siguientes extensiones de procesador:
- Extensiones Intel SHA : disponibles en algunos procesadores Intel y AMD x86.
- VIA Candado
- Extensiones de criptografía ARMv8
Ver también
- Comparación de funciones hash criptográficas
- Resumen de seguridad de la función hash
- Asociación Internacional para la Investigación Criptológica
- Estándar de hash seguro
Notas
Referencias
- Eli Biham , Rafi Chen, Near-Collisions of SHA-0, Cryptology ePrint Archive, Report 2004/146, 2004 (apareció en CRYPTO 2004), IACR.org
- Xiaoyun Wang , Hongbo Yu y Yiqun Lisa Yin, Ataques de búsqueda de colisiones eficientes en SHA-0 , Crypto 2005
- Xiaoyun Wang , Yiqun Lisa Yin y Hongbo Yu, Encontrando colisiones en el SHA-1 completo , Crypto 2005
- Henri Gilbert , Helena Handschuh : Análisis de seguridad de SHA-256 y Sisters . Áreas seleccionadas en criptografía 2003: pp175–193
- Una guía ilustrada de hashes criptográficos
- "Revisión propuesta del estándar federal de procesamiento de información (FIPS) 180, estándar de hash seguro" . Registro Federal . 59 (131): 35317–35318. 1994-07-11 . Consultado el 26 de abril de 2007 .
- A. Cilardo, L. Esposito, A. Veniero, A. Mazzeo, V. Beltran, E. Ayugadé, A CellBE-based HPC application for the analysis of vulnerabilities in cryptographic hash functions , High Performance Computing and Communication international conference, agosto de 2010
enlaces externos
- Kit de herramientas criptográficas de CSRC : sitio oficial del NIST para el estándar Secure Hash
- FIPS 180-4: Estándar de hash seguro (SHS)
- RFC 3174 (con implementación de ejemplo C)
- Entrevista a Yiqun Lisa Yin sobre el ataque a SHA-1
- Explicación de los ataques exitosos a SHA-1 (3 páginas, 2006)
- Investigación en criptografía - Preguntas y respuestas sobre colisión de hash
- SHA-1 en Curlie
- Conferencia sobre SHA-1 (1h 18m) en YouTube a cargo de Christof Paar