发现SHA-2碰撞

Question

如果在SHA-2哈希函数中发现冲突，会有什么影响？

如果发现不止一个，会不会产生更大的影响?还是原则上是一样的？

Answer 1

首先，有不同类型的哈希冲突。更简单、更有可能的情况是，可以创建两个导致相同哈希值(“冲突攻击”)的文档。更困难的情况是为特定的给定文档寻找冲突，以便两者都产生相同的散列值(“第二次图像前攻击”)或找到匹配特定哈希值的文档(“第一次图像前攻击”)。这也是具有更大安全影响的情况。

SHA-2的一个主要用途是创建签名.如果有可能创建一个与另一个给定文档产生相同散列的文档，那么就可以成功地重用另一个文档的签名。这意味着可以使用它成功地声明文档是由特定实体签名的，即使该实体从未对此文档进行签名。

这类文档的一种非常重要的类型是X509证书，这些证书用于TLS (以及HTTPS)中的身份验证。因此，成功地伪造这样的证书就意味着一个处于中间攻击的人是有可能的。

其他使用这种签名的人是S/MIME，伪造签名意味着可以声称某个特定的伪造邮件是由特定的人签名的。这种签名还用于软件签名和伪造签名，这意味着成功地通过白名单，其中对软件的信任(以及执行该软件的能力)是基于该软件的发行者。

如果不可能创建与特定文档的冲突，但创建两个导致相同散列的文档，则仍然是一个严重的问题。例如，这可以用于创建一个契约的两个版本，它们都会产生相同的散列。然后，作弊方可以使用先前创建的具有不同规则的不同版本的合同，并声称这是原始版本，因为它包含相同的签名。

有关更多信息，请参见RFC 4270 -攻击Internet协议中的密码散列。有趣的可能也是密码突破显示火焰是由世界一流的科学家设计的，它展示了如何在实际目标攻击中成功地使用对旧哈希函数MD5的攻击。

如果发现不止一个，会不会产生更大的影响?还是原则上是一样的？

虽然情况可能会更糟，但与最初的问题相比，情况可能不会更糟。