沙-1-使用SHA1签名会有风险吗？

Question

如果数据(例如电子邮件、pdf文件、xml内容)使用SHA-1进行散列，然后由SHA-2证书签名，这是否比使用带有SHA-2证书的SHA-2散列更有风险？

在这个场景中，虽然实际的文件内容可能会发生冲突(例如使用SHA-1进行散列)，但实际上风险非常小，因为签名是由安全的SHA-2证书完成的。

在我的问题“SHA-1-为什么很难找到证书碰撞？”中，我说过，与一个PDF文件相比，碰撞证书要困难得多。然而，这是否适用于任何类型的签名文件？证书基本上是一个带有签名哈希的文件。如果我拿了一个签名的PDF怎么办？还是签名的电子邮件？攻击还会很难吗?为什么？

Answer 1

是的，是这样的。

一条链与其最弱的一环一样坚固。加强一个链接，例如使用SHA-2证书而不是SHA-1证书，将不会加强任何其他链接。

您不能通过使用SHA-2证书来阻止欺骗您的人签署SHA-1冲突。SHA-2证书是由颁发证书的证书颁发机构使用SHA-2签署的证书。拥有这样的证书不会给你神奇的超能力。您仍然需要明智地使用您自己的私钥/公钥对。

关于后续问题，您当然必须在第一次签署之前生成冲突。第二个签名可以至少以三种不同的方式添加：

1. 与第一个签名并行，对相同的数据使用相同的散列。在这种情况下，您显然也会得到第二次碰撞。
2. 对包括第一个签名在内的已签名数据。对于这个场景中的第二个签名者来说，生成一个仍然是冲突的原始冲突可能会更加困难。另一方面，这并不重要，除非第二个签名者直接从第一个签名者那里获得具有物理安全性的将要签名的数据。
3. 第一个签名点的反签名。由于第一个签名blob已经因冲突而受损，因此计数器签名也将通过扩展而受到破坏。