Este artículo resume los ataques conocidos públicamente contra las funciones de hash criptográficas . Tenga en cuenta que es posible que no todas las entradas estén actualizadas. Para obtener un resumen de otros parámetros de la función hash, consulte la comparación de funciones hash criptográficas .
Clave de color de la tabla
Funciones hash comunes
Resistencia a colisiones
Función hash | Reclamación de seguridad | Mejor ataque | Fecha de publicación | Comentario |
---|---|---|---|---|
MD5 | 2 64 | 2 18 veces | 2013-03-25 | Este ataque toma unos segundos en una PC normal. Colisiones de dos bloques en 2 18 , colisiones de un bloque en 2 41 . [1] |
SHA-1 | 2 80 | 2 61,2 | 2020-01-08 | Documento de Gaëtan Leurent y Thomas Peyrin [2] |
SHA256 | 2 128 | 31 de 64 rondas (2 65,5 ) | 2013-05-28 | Colisión de dos bloques. [3] |
SHA512 | 2 256 | 24 de 80 rondas (2 32,5 ) | 2008-11-25 | Papel. [4] |
SHA-3 | Hasta 2512 | 6 de 24 rondas (2 50 ) | 2017 | Papel. [5] |
BLAKE2s | 2 128 | 2.5 de 10 rondas ( 2112 ) | 2009-05-26 | Papel. [6] |
BLAKE2b | 2 256 | 2.5 de 12 rondas ( 2224 ) | 2009-05-26 | Papel. [6] |
Ataque de colisión de prefijo elegido
Función hash | Reclamación de seguridad | Mejor ataque | Fecha de publicación | Comentario |
---|---|---|---|---|
MD5 | 2 64 | 2 39 | 2009-06-16 | Este ataque lleva horas en una PC normal. [7] |
SHA-1 | 2 80 | 2 63,4 | 2020-01-08 | Documento de Gaëtan Leurent y Thomas Peyrin [2] |
SHA256 | 2 128 | |||
SHA512 | 2 256 | |||
SHA-3 | Hasta 2512 | |||
BLAKE2s | 2 128 | |||
BLAKE2b | 2 256 |
Resistencia a la preimagen
Función hash | Reclamación de seguridad | Mejor ataque | Fecha de publicación | Comentario |
---|---|---|---|---|
MD5 | 2 128 | 2 123,4 | 2009-04-27 | Papel. [8] |
SHA-1 | 2 160 | 45 de 80 rondas | 2008-08-17 | Papel. [9] |
SHA256 | 2 256 | 43 de 64 rondas (2 254,9 tiempo, 2 6 memoria) | 2009-12-10 | Papel. [10] |
SHA512 | 2 512 | 46 de 80 rondas (2 511,5 tiempo, 2 6 memoria) | 2008-11-25 | Papel, [11] versión actualizada. [10] |
SHA-3 | Hasta 2512 | |||
BLAKE2s | 2 256 | 2.5 de 10 rondas ( 2241 ) | 2009-05-26 | Papel. [6] |
BLAKE2b | 2 256 | 2.5 de 12 rondas ( 2481 ) | 2009-05-26 | Papel. [6] |
Extensión de longitud
- Vulnerables: MD5, SHA1, SHA256, SHA512
- No vulnerable: SHA384, SHA-3, BLAKE2
Funciones hash menos comunes
Resistencia a colisiones
Función hash | Reclamación de seguridad | Mejor ataque | Fecha de publicación | Comentario |
---|---|---|---|---|
GOST | 2 128 | 2 105 | 2008-08-18 | Papel. [12] |
HAVAL -128 | 2 64 | 2 7 | 2004-08-17 | Colisiones informadas originalmente en 2004, [13] seguidas por un documento de criptoanálisis en 2005. [14] |
MD2 | 2 64 | 2 63,3 tiempo, 2 52 memoria | 2009 | Ligeramente menos costoso computacionalmente que un ataque de cumpleaños, [15] pero para propósitos prácticos, los requisitos de memoria lo hacen más costoso. |
MD4 | 2 64 | 3 operaciones | 2007-03-22 | Encontrar colisiones casi tan rápido como verificarlas. [dieciséis] |
PANAMÁ | 2 128 | 2 6 | 2007-04-04 | Paper, [17] mejora de un ataque teórico anterior de 2001. [18] |
RIPEMD (original) | 2 64 | 2 18 veces | 2004-08-17 | Colisiones informadas originalmente en 2004, [13] seguidas por un documento de criptoanálisis en 2005. [19] |
RadioGatún | Hasta 2 608 [20] | 2 704 | 2008-12-04 | Para un tamaño de palabra w entre 1 y 64 bits, el hash proporciona una declaración de seguridad de 2 9,5 w . El ataque puede encontrar una colisión en 2 11 w de tiempo. [21] |
RIPEMD-160 | 2 80 | 48 de 80 rondas (2 51 veces) | 2006 | Papel. [22] |
SHA-0 | 2 80 | 2 33,6 tiempo | 2008-02-11 | Colisiones de dos bloques con ataque boomerang . El ataque toma aproximadamente 1 hora en una PC promedio. [23] |
Streebog | 2 256 | 9.5 rondas de 12 ( 2176 tiempo, 2128 memoria) | 2013-09-10 | Ataque de rebote . [24] |
Torbellino | 2 256 | 4.5 de 10 rondas ( 2120 veces) | 2009-02-24 | Ataque de rebote. [25] |
Resistencia a la preimagen
Función hash | Reclamación de seguridad | Mejor ataque | Fecha de publicación | Comentario |
---|---|---|---|---|
GOST | 2 256 | 2 192 | 2008-08-18 | Papel. [12] |
MD2 | 2 128 | 2 73 tiempo, 2 73 memoria | 2008 | Papel. [26] |
MD4 | 2 128 | 2 102 tiempo, 2 33 de memoria | 2008-02-10 | Papel. [27] |
RIPEMD (original) | 2 128 | 35 de 48 rondas | 2011 | Papel. [28] |
RIPEMD-128 | 2 128 | 35 de 64 rondas | ||
RIPEMD-160 | 2 160 | 31 de 80 rondas | ||
Streebog | 2 512 | 2 266 de tiempo, 2 259 de datos | 2014-08-29 | El documento presenta dos ataques de segunda preimagen con requisitos de datos variables. [29] |
Tigre | 2 192 | 2 188,8 tiempo, 2 8 memoria | 2010-12-06 | Papel. [30] |
Ataques a contraseñas hash
Los hash descritos aquí están diseñados para un cálculo rápido y tienen velocidades aproximadamente similares. [31] Debido a que la mayoría de los usuarios normalmente eligen contraseñas cortas formadas de formas predecibles, las contraseñas a menudo se pueden recuperar de su valor hash si se usa un hash rápido. Las búsquedas del orden de 100 mil millones de pruebas por segundo son posibles con procesadores gráficos de alta gama . [32] [33] Se han creado hashes especiales llamados funciones de derivación de claves para ralentizar las búsquedas de fuerza bruta. Estos incluyen pbkdf2 , bcrypt , scrypt , argon2 y balloon .
Ver también
- Comparación de funciones hash criptográficas
- Función hash criptográfica
- Ataque de colisión
- Ataque de preimagen
- Ataque de extensión de longitud
- Resumen de seguridad de cifrado
Referencias
- ^ Tao Xie; Fanbao Liu; Dengguo Feng (25 de marzo de 2013). "Ataque de colisión rápido en MD5" . Cite journal requiere
|journal=
( ayuda ) - ^ a b Gaëtan Leurent; Thomas Peyrin (8 de enero de 2020). "SHA-1 es un desastre: primera colisión de prefijo elegido en SHA-1 y aplicación a PGP Web of Trust" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ Florian Mendel; Tomislav Nad; Martin Schläffer (28 de mayo de 2013). Mejora de colisiones locales: nuevos ataques en SHA-256 reducido . Eurocrypt 2013.
- ^ Somitra Kumar Sanadhya; Palash Sarkar (25 de noviembre de 2008). Nuevos ataques de colisión contra SHA-2 de hasta 24 pasos . Indocrypt 2008. doi : 10.1007 / 978-3-540-89754-5_8 .
- ^ L. Song, G. Liao y J. Guo, Linealización de Sbox no completa: aplicaciones para ataques de colisión en Keccak con reducción de rondas, CRYPTO, 2017
- ^ a b c d LI Ji; XU Liangyu (26 de mayo de 2009). "Ataques en BLAKE con reducción de rondas" . Cite journal requiere
|journal=
( ayuda ) - ^ Marc Stevens; Arjen Lenstra; Benne de Weger (16 de junio de 2009). "Colisiones de prefijo elegido para MD5 y aplicaciones" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ Yu Sasaki; Kazumaro Aoki (27 de abril de 2009). Encontrar preimágenes en Full MD5 más rápido que una búsqueda exhaustiva . Eurocrypt 2009. doi : 10.1007 / 978-3-642-01001-9_8 .
- ^ Christophe De Cannière; Christian Rechberger (17 de agosto de 2008). Imágenes previas para SHA-0 y SHA-1 reducidos . Cripto 2008.
- ^ a b Kazumaro Aoki; Jian Guo; Krystian Matusiewicz; Yu Sasaki; Lei Wang (10 de diciembre de 2009). Imágenes previas para SHA-2 de reducción escalonada . Asiacrypt 2009. doi : 10.1007 / 978-3-642-10366-7_34 .
- ^ Yu Sasaki; Lei Wang; Kazumaro Aoki (25 de noviembre de 2008). "Ataques de preimagen en SHA-256 de 41 pasos y SHA-512 de 46 pasos" . Cite journal requiere
|journal=
( ayuda ) - ^ a b Florian Mendel; Norbert Pramstaller; Christian Rechberger; Marcin Kontak; Janusz Szmidt (18 de agosto de 2008). Criptoanálisis de la función Hash de GOST . Cripto 2008.
- ^ a b Xiaoyun Wang; Dengguo Feng; Xuejia Lai; Hongbo Yu (17 de agosto de 2004). "Colisiones para Funciones Hash MD4, MD5, HAVAL-128 y RIPEMD" . Cite journal requiere
|journal=
( ayuda ) - ^ Xiaoyun Wang; Dengguo Feng; Xiuyuan Yu (octubre de 2005). "Un ataque a la función hash HAVAL-128" (PDF) . Ciencia en China Serie F: Ciencias de la información . 48 (5): 545–556. CiteSeerX 10.1.1.506.9546 . doi : 10.1360 / 122004-107 . Archivado desde el original (PDF) el 9 de agosto de 2017 . Consultado el 23 de octubre de 2014 .
- ^ Lars R. Knudsen; John Erik Mathiassen; Frédéric Muller; Søren S. Thomsen (enero de 2010). "Criptoanálisis de MD2". Revista de criptología . 23 (1): 72–90. doi : 10.1007 / s00145-009-9054-1 . S2CID 2443076 .
- ^ Yu Sasaki; Yusuke Naito; Noboru Kunihiro; Kazuo Ohta (22 de marzo de 2007). "Ataques de colisión mejorados en MD4 y MD5". Transacciones del IEICE sobre Fundamentos de Electrónica, Comunicaciones e Informática . E90-A (1): 36–47. Código Bibliográfico : 2007IEITF..90 ... 36S . doi : 10.1093 / ietfec / e90-a.1.36 .
- ^ Joan Daemen; Gilles Van Assche (4 de abril de 2007). Produciendo Colisiones para Panamá, Instantáneamente . FSE 2007.
- ^ Vincent Rijmen; Bart Van Rompay; Bart Preneel; Joos Vandewalle (2001). Produciendo Colisiones para PANAMÁ . FSE 2001.
- ^ Xiaoyun Wang; Xuejia Lai; Dengguo Feng; Hui Chen; Xiuyuan Yu (23 de mayo de 2005). Criptoanálisis de las funciones hash MD4 y RIPEMD . Eurocrypt 2005. doi : 10.1007 / 11426639_1 .
- ^ RadioGatún es una familia de 64 funciones hash diferentes. El nivel de seguridad y el mejor ataque en el gráfico son para la versión de 64 bits. La versión de 32 bits de RadioGatún tiene un nivel de seguridad reclamado de 2 304 y el ataque mejor reclamado requiere 2 352 trabajo.
- ^ Thomas Fuhr; Thomas Peyrin (4 de diciembre de 2008). Criptoanálisis de RadioGatun . FSE 2009.
- ^ Florian Mendel; Norbert Pramstaller; Christian Rechberger; Vincent Rijmen (2006). Sobre la resistencia a colisiones de RIPEMD-160 . ISC 2006.
- ^ Stéphane Manuel; Thomas Peyrin (11 de febrero de 2008). Colisiones en SHA-0 en una hora . FSE 2008. doi : 10.1007 / 978-3-540-71039-4_2 .
- ^ Zongyue Wang; Hongbo Yu; Xiaoyun Wang (10 de septiembre de 2013). "Criptoanálisis de la función hash GOST R" . Cartas de procesamiento de información . 114 (12): 655–662. doi : 10.1016 / j.ipl.2014.07.007 .
- ^ Florian Mendel; Christian Rechberger; Martin Schläffer; Søren S. Thomsen (24 de febrero de 2009). El ataque de rebote: criptoanálisis de remolino reducido y Grøstl (PDF) . FSE 2009.
- ^ Søren S. Thomsen (2008). "Un ataque de preimagen mejorado en MD2" . Cite journal requiere
|journal=
( ayuda ) - ^ Gaëtan Leurent (10 de febrero de 2008). MD4 no es unidireccional (PDF) . FSE 2008.
- ^ Chiaki Ohtahara; Yu Sasaki; Takeshi Shimoyama (2011). Ataques de preimagen en RIPEMD-128 y RIPEMD-160 reducidos por pasos . ISC 2011. doi : 10.1007 / 978-3-642-21518-6_13 .
- ^ Jian Guo; Jérémy Jean; Gaëtan Leurent; Thomas Peyrin; Lei Wang (29 de agosto de 2014). El uso de Counter Revisited: Second-Preimage Attack on New Russian Standardized Hash Function . SAC 2014.
- ^ Jian Guo; San Ling; Christian Rechberger; Huaxiong Wang (6 de diciembre de 2010). Ataques avanzados de preimagen de encuentro en el medio: primeros resultados en Full Tiger y resultados mejorados en MD4 y SHA-2 . Asiacrypt 2010. págs. 12-17.
- ^ "ECRYPT Benchmarking de hashes criptográficos" . Consultado el 23 de noviembre de 2020 .
- ^ "Rendimiento de GPU alucinante" . Improsec. 3 de enero de 2020.
- ^ Goodin, Dan (10 de diciembre de 2012). "El clúster de 25 GPU descifra todas las contraseñas estándar de Windows en <6 horas" . Ars Technica . Consultado el 23 de noviembre de 2020 .
enlaces externos
- Resumen de 2010 de los ataques contra Tiger, MD4 y SHA-2: Jian Guo; San Ling; Christian Rechberger; Huaxiong Wang (6 de diciembre de 2010). Ataques avanzados de preimagen de encuentro en el medio: primeros resultados en Full Tiger y resultados mejorados en MD4 y SHA-2 . Asiacrypt 2010. p. 3.