攻击可以发现很多对具有相同原始初始值/V的两 个1024位MD5消息 I1n:Aa=0x67452301,B0=0 EFCDAB89,C0= 098BADEFD, D=0x10325476 M′=M+AC1,4C1=(0,0,0,0,231,…,215,…,231,0) N′=N+4C2,AC2=(0,0,0,023,…,-215,…,231,0) (位置4、11和14非零) 此时,MDS(M,N)=MD5(M,N 在IBMP690上,用将近一个小时的时间来寻找这 样的M和M之后,只需要15秒到5分钟的时间 就可以找到N和N,此时的(M,N)和(M;,N 将产生相同的散列值。此外,攻击可以工作于任意 给定的初始值 防止这种攻击的方法是在所有明文中间加0
攻击可以发现很多对具有相同原始初始值 IV0 的两 个 1024 位 MD5 消息: IV0: A 0 = 0x67452301, B 0 = 0xEFCDAB89, C0 = 098BADEFD, D 0 = 0x10325476 M' = M + Δ C1, Δ C1 = (0, 0, 0, 0, 231, ..., 215, ..., 231, 0) Ni' = Ni + Δ C2, Δ C2 = (0, 0, 0, 0 231, ..., -215, ..., 231, 0) (位置 4 、11 和14非零) 此时,MD5(M, Ni) = MD5(M', Ni ') 在 IBM P690 上,用将近一个小时的时间来寻找这 样的 M 和 M‘,之后,只需要 15 秒到 5 分钟的时间 就可以找到 Ni 和 Ni ’,此时的 (M, Ni) 和 (M‘, Ni ’) 将产生相同的散列值。此外,攻击可以工作于任意 给定的初始值。 防止这种攻击的方法是在所有明文中间加 0
424SHA算法 SHA( Secure Hash Algorithm)算法是美国NIST和 NSA设计的一种标准算法,它具有较高的安全性 1992年公布并使用,1994年作了改进,1995年公布 了新版即SHA-1。 SHA算法最终输出结果是160bit的信息摘要。该算 法首先填充信息,使之为512b的倍数。 填充方法与MD5完全一样。 5个32bi变量初始化为:A=67452301,B=EFCD AB 89. C=98 BA DC FED=10325476E=C3D2 E1 F0。 然后进行算法的主循环。它一次处理512bit信息, 循环次数是信息中的512bit块的数目
4.2.4 SHA算法 SHA(Secure Hash Algorithm)算法是美国NIST和 NSA设计的一种标准算法,它具有较高的安全性。 1992年公布并使用,1994年作了改进,1995年公布 了新版即SHA-1。 SHA算法最终输出结果是160bit的信息摘要。该算 法首先填充信息,使之为512bit的倍数。 填充方法与MD5完全一样。 5个32bit变量初始化为:A=67 45 23 01,B=EF CD AB 89,C=98 BA DC FE,D=10 32 54 76, E=C3 D2 E1 F0。 然后进行算法的主循环。它一次处理512bit信息, 循环次数是信息中的512bit块的数目
在MD5被攻破之后,世界密码学界仍然认为SHA 1是安全的算法。2005年2月7日,美国国家标准技 术研究院(NIST)对外宣称,SHA-1还没有被攻 破,并且也没有足够的理由怀疑它会很快被攻破。 SHA-1的应用范围或许比MD5更加广泛,其安全 性较MD5要高出很多。SHA-1是美国国家标准技 术研究院(NIsT)与美国国家安全局(NSA)共 同设计的,一些重要的场合都选择SHA-1来做数 字签名。美国政府更是早在1994年就开始采用了 SHA-1算法。 仅在一周之后,SHA-1也被王小云“碰撞”了。 原来代价为28,现为260,但并不意味着实际的攻 破
在MD5被攻破之后,世界密码学界仍然认为SHA- 1是安全的算法。2005 年 2 月 7日,美国国家标准技 术研究院(NIST)对外宣称,SHA-1还没有被攻 破,并且也没有足够的理由怀疑它会很快被攻破。 SHA-1的应用范围或许比MD5更加广泛,其安全 性较MD5要高出很多。SHA-1是美国国家标准技 术研究院(NIST)与美国国家安全局(NSA)共 同设计的,一些重要的场合都选择SHA-1来做数 字签名。美国政府更是早在1994年就开始采用了 SHA-1算法。 仅在一周之后,SHA-1也被王小云“碰撞”了。 原来代价为 280,现为 260,但并不意味着实际的攻 破
这一进展,在国际社会的反响甚至超出半年前 MD5被破时的情景。NST表示,美国政府5年 内将不再使用SHA-1,并计划在2010年前改用 先进的SHA-224、SHA256、SHA-384及SHA 512的数字签名加密算法。 在我国,MD5和SHA-1也是在实际应用中最广 泛的两种数字签名算法,包括网上银行等金融 业务在内的很多数字签名都采用SHA-1或MD5 算法。 王小云教授发明的可以迅速而有效地验证一系 列Hash函数算法健壮性的工具,令Hash函数 的一些隐含弱点更快地暴露在人们眼前,在学 术研究上具有更大的理论价值。 构造实用安全的散列函数
这一进展,在国际社会的反响甚至超出半年前 MD5被破时的情景。NIST表示,美国政府 5 年 内将不再使用SHA-1,并计划在2010年前改用 先进的SHA-224 、SHA-256 、SHA-384 及SHA- 512的数字签名加密算法。 在我国,MD5 和SHA-1也是在实际应用中最广 泛的两种数字签名算法,包括网上银行等金融 业务在内的很多数字签名都采用SHA-1 或MD5 算法。 王小云教授发明的可以迅速而有效地验证一系 列Hash函数算法健壮性的工具,令Hash函数 的一些隐含弱点更快地暴露在人们眼前,在学 术研究上具有更大的理论价值。 构造实用安全的散列函数
由于王小云教授提出的比特追踪法和明 文修改技术在分析Hash函数上取得的成 功,使得现行的标准Hash函数中的MDx系 列和SHA系列的安全性都不能够再满足 实际的要求 NIST于2007年发起了Hash函数新标准的 征集活动即SHA-3竞赛。 NIST对提交算法的要求和建议主要有: (1)新算法应该能在广泛的软硬件平台上 安全有效地实现,包括受限的环境如智能 卡
由于王小云教授提出的比特追踪法和明 文修改技术在分析Hash函数上取得的成 功 ,使得现行的标准Hash函数中的MDx 系 列和SHA系列的安全性都不能够再满足 实际的要求。 NIST 于2007年发起了Hash函数新标准的 征集活动 , 即SHA-3竞赛。 NIST 对提交算法的要求和建议主要有: ( 1) 新算法应该能在广泛的软硬件平台上 安全有效地实现 ,包括受限的环境如智能 卡