SHA-1器件的安全性是否依然足够安全?
Dallas Semiconductor/Maxim的SHA-1存储器件将为附件/外设鉴别及防窜改、存储器认证应用提供低成本、高效的解决方案。这些SHA-1存储器件具有可鉴别特性,特别适合那些要求防范造假的应用,如大批量消耗品、高附加值硬件、硬件许可管理、楼宇进出控制或自动售货机。
从根本上讲,这些设备的实用性取决于安全散列算法的坚固性和安全性,这一算法是由美国国家标准技术研究所(NIST在联邦信息处理标准180-1 (FIPS PUB 180-1)及ISO/IEC10118-3中定义的。近来,几位中国学者攻击了这种算法(见注释一)。本文指出,尽管某些采用SHA-1算法的应用其安全性有待重新评估,但Dallas Semiconductor/Maxim的SHA-1存储器件的安全性不会受这一研究声明的影响。
针对SHA-1摘要码的攻击FIPS PUB 180-1标准中规定:SHA-1能够以安全的方式将数据计算压缩成一段特定的信息。如文档资料中所定义,SHA-1算法的安全性有两层含义:(1)由一个给定的信息摘要不可能通过计算导出信息源;(2)要找到两条不同的信息使之产生相同的摘要在计算上是不可行的。第一条推论表明,由SHA-1算法所得出的结果并不包含足够的信息,不足以由此推出算法输入中的全部文本信息(也就是说,该算法是不可逆的);还包括如果仅仅知道摘要(输出)的话,找出对应的原文信息(输入)需要耗费大量的资源和时间。第二条推论表明,发现两个计算结果相同的独一无二的输入信息需要耗费大量的资源和时间(也就是说,该算法具有抗冲撞性)。上述假定并不表明不存在两条摘要相同的信息,只是很难找到而已。
从理论上来说,发现一次碰撞(摘要相同的两条信息)最多需要进行280杂散运算(参见注释2)。学者们近来对于SHA-1的攻击表明:这一数字已经减小到只需269次运算。这一新发现削弱了上文关于SHA-1的第二条结论,因为它有效地将这种“计算上的不可行性”减小了211级。但这并不意味着
