충돌 공격

3. 공격 시나리오

암호화 해시 함수의 많은 응용 분야는 충돌 저항에 의존하지 않으므로 충돌 공격은 해당 보안에 영향을 미치지 않는다. 예를 들어, HMAC는 취약하지 않다.^[12] 공격이 유용하려면 공격자는 해시 함수의 입력값을 제어할 수 있어야 한다.

일반적인 공격 시나리오는 다음과 같다.

# 맬러리는 동일한 해시 값을 가진 두 개의 다른 문서 A와 B를 생성한다. 즉, 충돌이 발생한다. 맬러리는 앨리스가 보낸 것처럼 위장하여 문서 B를 수락하도록 밥을 속이려고 한다.

# 맬러리는 '''앨리스에게 문서 A를 보낸다'''. 앨리스는 문서의 내용에 동의하고, 해당 해시를 서명한 후, 해당 서명을 맬러리에게 보낸다.

# 맬러리는 문서 A의 서명을 문서 B에 첨부한다.

# 맬러리는 그런 다음 '''서명과 문서 B를 밥에게 보낸다'''. 앨리스가 B에 서명했다고 주장하면서 말이다. 디지털 서명이 문서 B의 해시와 일치하기 때문에 밥의 소프트웨어는 대체를 감지할 수 없다.

2008년, 연구자들은 이 시나리오를 사용하여 MD5에 대한 선택된 접두사 충돌 공격으로 악성 인증 기관 인증서를 생성했다. 그들은 두 버전의 TLS 공개 키 인증서를 생성했는데, 그 중 하나는 합법적으로 보였고 RapidSSL 인증 기관에 서명을 위해 제출되었다. 동일한 MD5 해시를 가진 두 번째 버전에는 웹 브라우저가 임의의 다른 인증서를 발급하기 위한 합법적인 기관으로 받아들이도록 신호를 보내는 플래그가 포함되어 있었다.^[14]

3. 1. 디지털 서명

3. 2. 기타 공격

4. 대응 방안

해시 테이블 조회 시 최악의 경우(선형 탐사) 실행 시간을 악용하기 위해 해시 충돌을 사용하는 서비스 거부 공격의 일종인 해시 플러딩(Hash flooding, 일명 '''HashDoS'''^[15])을 방지하기 위해, 키가 알려지지 않는 한 충돌을 찾기 어렵다는 보안 목표를 가진 새로운 키 해시 함수가 도입되었다. 이전 해시보다 느릴 수 있지만, 암호화 해시보다 훨씬 쉽게 계산할 수 있다. 2021년 현재, 장-필립 오마송(Jean-Philippe Aumasson)과 다니엘 J. 번스타인(Daniel J. Bernstein)의 SipHash(2012)가 이 부류에서 가장 널리 사용되는 해시 함수이다.^[18] (응용 프로그램의 해시 테이블이 외부에서 제어할 수 없는 한, 키가 없는 "단순한" 해시는 안전하게 사용할 수 있다.)

참조

_[1] 논문 Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD http://eprint.iacr.o[...] 2004-08-16
_[2] 간행물 On Collisions for MD5 http://www.win.tue.n[...] 2007-06
_[3] 웹사이트 Hash Collisions (The Poisoned Message Attack) http://th.informatik[...] 2010-03-27
_[4] 간행물 A Note on the Practical Value of Single Hash Collisions for Special File Formats http://csrc.nist.gov[...] 2017-01-04
_[5] 서적 Advances in Cryptology - EUROCRYPT 2007 2007-11-30
_[6] 웹사이트 Creating a rogue CA certificate http://www.phreedom.[...] 2009-10-07
_[7] 웹사이트 Microsoft releases Security Advisory 2718704 http://blogs.technet[...] Microsoft 2012-06-03
_[8] 웹사이트 CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware http://www.cwi.nl/ne[...] Centrum Wiskunde & Informatica 2012-06-09
_[9] 뉴스 SHA-1 collision attacks are now actually practical and a looming danger https://www.zdnet.co[...] 2019-05-13
_[10] 웹사이트 From Collisions to Chosen-Prefix Collisions Application to Full SHA-1 https://eprint.iacr.[...] 2019-05-06
_[11] 웹사이트 SHA-1 is a Shambles - First Chosen-Prefix Collision on SHA-1 and Application to the PGP Web of Trust https://eprint.iacr.[...] 2020-01-05
_[12] 웹사이트 Hash Collision Q&A http://www.cryptogra[...] Cryptography Research Inc. 2005-02-15
_[13] 문서 Randomized Hashing and Digital Signatures http://www.ee.techni[...]
_[14] 간행물 MD5 considered harmful today http://www.win.tue.n[...] 2008-12-30
_[15] 서적 2013 IEEE 20th International Conference on Web Services
_[16] 웹사이트 About that hash flooding vulnerability in Node.js... · V8 https://v8.dev/blog/[...]
_[17] 문서 Denial of service via algorithmic complexity attacks 2003
_[18] 웹사이트 SipHash: a fast short-input PRF https://131002.net/s[...] 2012-09-18
_[19] 학위논문 The Power of Evil Choices in Bloom Filters https://hal.inria.fr[...] INRIA Grenoble 2014-11-12
_[20] 웹인용 "Meaningful Collisions", attack scenarios for exploiting cryptographic hash collisions http://www.iaik.tugr[...] 2016-01-08