تا چند سال پیش متخصصین رمزنگاری، شاید نمیدونستن یا فکرشو نمیکردن تا این حد بشه یک الگوریتمی که استاندارد اعلام کردن رو زیرسوال برد.
شاید اگه ما پارادوکس تاریخ تولد (Birthday problem) رو در نظریه احتمالات نمیداشتیم، هیچ موقع نمیتونستیم تا این حد به پیشرفت حملات تصادمی (Collision attack) برسیم.
الگوریتمهای رمزنگاری متقارن و توابع درهم ساز (Hash) نسبت به حملات Brute-Force آسیبپذیرن. این روش اونقدر کند بوده که محققین رو مجاب کرده تا از مسالهی روز تولد به نفعِ احتمالات کمتر توی تصادفی بودن حملاتشون استفاده کنن. این کار سرعت حمله و رسیدن به نتیجه (یعنی رسیدن به تصادمهایی که بین حملات رخ میده) رو به میزان قابل توجهی افزایش داد و منجر به «شکست» تابع SHA-1 در چند سال اخیر شد. اون اوایل با توجه به اینکه هزینههای بازسازی ارتباطات و دستگاههابرای یک الگوریتم خاص اونقدر زیاد بود که تقریبا به بهانههای مختلف از زیرش در میرفتن، ولی حالا که هزینهی استفاده از حملات تصادمی واسه SHA-1 تا این حد ارزون شده، تقریبا از پارسال همهی غولهای نرمافزاری دارن به سمت استفاده از SHA-2,3 میرن و SHA-1 رو کنار گذاشتن.
این ضعف (تصادم) بیشتر برای امضای دیجیتال نقطهی بحران و خطره. در صورتی که استفاده از الگوریتم MD5 برای هش کردن رمزِ کاربرها نه به این خاطر که میشه روی اون تصادم ایجاد کرد، بلکه به این خاطر که جداول رنگینکمانی (Rainbow table) آماده زیادی براش تولید شده، یک ریسک محسوب میشه.
@offsecmag
