是否有可能获得相同的 SHA1 哈希？ [复制]

Posted 2023-03-29

【中文标题】是否有可能获得相同的 SHA1 哈希？ [复制]

【英文标题】：Is it possible to get identical SHA1 hash? [duplicate]

【发布时间】：2011-01-29 13:51:23

【问题描述】：

给定两个不同的字符串 S1 和 S2 (S1 != S2)，是否有可能：

SHA1(S1) == SHA1(S2)

是真的吗？

如果是 - 概率是多少？ 如果不是 - 为什么不呢？ 输入字符串的长度是否存在上限，其重复概率为 0？或者 SHA1 的计算（因此重复的概率）与字符串的长度无关？

我试图实现的目标是散列一些敏感的 ID 字符串（可能与父 ID 等其他一些字段连接在一起），以便我可以使用散列值作为 ID（例如在数据库中）。

例子：

Resource ID: X123
Parent ID: P123

我不想公开我的资源标识的性质以允许客户看到“X123-P123”。

相反，我想创建一个新的列哈希（“X123-P123”），假设它是 AAAZZZ。然后客户端可以请求 id 为 AAAZZZ 的资源并且不知道我的内部 id 等。

【问题讨论】：

由于 SHA-1 的长度是 160 位，因此对于固定字符串的概率总是高于 2^-160。

假设暴力攻击，均匀分布

是的，冲突是可能的。但你更有可能赢得强力球。更有可能。除非您使用哈希作为键，否则我看不出这怎么会成为一个问题，虽然这是一个非常有吸引力的提议，但不建议这样做。

确实，我正在考虑使用哈希作为我的资源的 id。

这个想法看起来不错，但为什么呢？不过你可以。

【参考方案1】：

您所描述的称为碰撞。冲突必然存在，因为 SHA-1 接受更多不同的消息作为输入，它可以产生不同的输出（SHA-1 可以吃掉最多 2^64 位的任何位串，但只输出 160 位；因此，至少有一个输出value 必须弹出多次）。这个观察对于任何输出小于输入的函数都是有效的，不管这个函数是否是一个“好”的散列函数。

假设 SHA-1 的行为类似于“随机预言机”（一个基本上返回随机值的概念对象，唯一的限制是一旦它在输入 mv /em>，此后它必须始终在输入 m 上返回 v），那么对于任何两个不同的字符串 S1 和 S2，碰撞的概率应该是 2^(- 160)。仍然假设 SHA-1 表现得像一个随机预言机，如果您收集了许多输入字符串，那么您将在收集大约 2^80 个这样的字符串后开始观察冲突。

（这是 2^80 而不是 2^160，因为使用 2^80 个字符串，您可以制作大约 2^159 对字符串。这通常被称为“生日悖论”，因为大多数人在应用于生日碰撞。请参阅the Wikipedia page 的主题。）

现在我们强烈怀疑 SHA-1 确实不真的表现得像随机预言机，因为生日悖论方法是随机预言机的最佳碰撞搜索算法。然而，有一个公开的攻击应该在大约 2^63 步内发现碰撞，因此比生日悖论算法快 2^17 = 131072 倍。这种攻击不应该在真正的随机预言机上可行。请注意，这种攻击实际上尚未完成，它仍然是理论上的（一些人 tried but apparently could not find enough CPU power）（更新：截至 2017 年初，有人确实计算了 SHA-1 collision使用上述方法，它完全按照预期工作）。然而，这个理论看起来很合理，看起来 SHA-1 确实不是随机预言机。相应地，至于碰撞的概率，好吧，所有的赌注都没有了。

至于您的第三个问题：对于具有 n 位输出的函数，如果您可以输入超过 2^n 条不同的消息，则必然存在冲突，即如果最大输入消息长度大于n。如果 m 低于 n，那么答案就不那么简单了。如果函数表现为随机预言机，那么发生碰撞的概率会随着 m 而降低，而不是线性降低，而是在 m=n/2附近有一个陡峭的截止值>。这与生日悖论的分析相同。对于 SHA-1，这意味着如果 m 则很可能没有碰撞，而 m > 80 使得至少存在一次碰撞的可能性很大（对于 m > 160，这是肯定的）。

请注意，“存在碰撞”和“您发现碰撞”之间存在区别。即使碰撞必须存在，每次尝试时您仍然有 2^(-160) 的概率。上一段的意思是，如果你不能（从概念上）尝试 2^160 对字符串，那么这样的概率是毫无意义的，例如因为您将自己限制为少于 80 位的字符串。

【讨论】：

那么...您的意思是，对于长度超过 80 位的字符串，可能至少存在一次冲突？如果我采用 40 位字符串或 20 位字符串怎么办？我知道这很愚蠢 - 但是否有一个功能可以确保没有重复？我想这将只是一个常规映射函数，而不是哈希（即用 A 等替换数字 1）——这使得我为此目的使用 SHA1 毫无意义。

@drozzy：如果您采用 40 位输入字符串，那么其中两个哈希到相同值的概率非常低。但是如果不彻底尝试它们，您就无法确定（使用 40 位字符串，这是可行的，使用大型 PC 和几天或几周）。当然，如果您没有冲突，那么您真正拥有的是从所有字符串到不同的 160 位值的映射。对于“隐藏敏感信息”，关键字是“机密性”，你应该研究加密而不是散列。

我发现这有助于意识到赢得大多数国家公共彩票的几率非常小，但奖金通常每周或几周内发放，所以无论几率多么小，它们会发生。 2^-x 可能是一个非常小的数字，但无论哪种方式，都无法确定碰撞是否会发生。或者准确地说：2^-x 既不是一也不是零。同样，尽管机会很小，但无论您如何约束 hash(1) 匹配 hash(2)，都无法阻止它。

在撰写本文时，单向函数是否存在仍然是一个开放的理论问题。如果他们不这样做，那么在多项式时间内可计算的每个哈希函数都容易受到碰撞攻击。

security.googleblog.com/2017/02/…

【参考方案2】：

是的，因为pigeon hole principle 是可能的。

大多数散列（也包括 sha1）具有固定的输出长度，而输入是任意大小。因此，如果您尝试足够长的时间，您可以找到它们。

但是，加密哈希函数（如 sha 系列、md 系列等）旨在最大限度地减少此类冲突。已知的最佳攻击需要 2^63 次尝试才能找到碰撞，因此机会为 2^(-63)，在实践中为 0。

【讨论】：

我在编辑答案时只是要提到鸽子洞原理。大声笑我要把它拿回来，因为它看起来像我抄袭你。

最佳攻击需要 2^63 工作这一事实并不意味着任何两个哈希冲突的机会是 2^63 中的 1 - 所有已知的攻击都需要构造两个冲突消息，而不是找到一个原像。

【参考方案3】：

git 使用 SHA1 哈希作为 ID，仍然在 2014 年没有已知的 SHA1 冲突。显然，SHA1 算法很神奇。我认为对于您的长度的字符串不存在碰撞是一个不错的选择，因为它们现在已经被发现了。但是，如果您不相信魔法并且不是赌徒，您可以生成随机字符串并将它们与您在数据库中的 ID 相关联。但是，如果您确实使用 SHA1 哈希并成为第一个发现冲突的人，您可以更改您的系统以使用随机字符串，将 SHA1 哈希保留为旧 ID 的“随机”字符串。

【讨论】：

截至今天，已发布 SHA1 冲突：shattered.it

【参考方案4】：

在散列函数中几乎总是可能发生冲突。迄今为止，SHA1 在生成不可预测的冲突方面非常安全。危险在于，当可以预测碰撞时，无需知道原始哈希输入即可生成相同的哈希输出。

例如，去年针对 MD5 的攻击是针对 SSL 服务器证书签名进行的，例如 Security Now 播客第 179 集。这使得老练的攻击者能够为流氓网站生成伪造的 SSL 服务器证书，并且似乎成为真正的东西。因此，强烈建议避免购买 MD5 签名的证书。

【参考方案5】：

您所说的称为碰撞。这是一篇关于 SHA1 冲突的文章： http://www.rsa.com/rsalabs/node.asp?id=2927

编辑：所以另一个回答者比我提到鸽子洞原理大声笑，但要澄清这就是为什么它被称为鸽子洞原理，因为如果你有一些洞可以让信鸽筑巢，但你有更多鸽子比洞，那么一些鸽子（输入值）必须共享一个洞（输出值）。