GLEP 59：Manifest2 哈希策略及安全影响

坏消息

首先，我想介绍一下校验和安全方面的坏消息。一个经常被讨论的点是简单的问题：同一数据上的多个独立校验和的安全级别是多少？最普遍的观点（实际上也是我以前持有的观点）是，多个校验和会提高安全性，但我们无法量化这种增加的安全性。真正糟糕的消息是，这个观点完全错误。你们中的许多人可能会对此感到震惊。正如 Joux 所指出的 [J04]，多个校验和提供的额外安全性非常少。对于任何一组校验和，其实际强度取决于最强校验和的强度。

Wang 等人 [W04] 将 Joux [J04] 关于 SHA-0 的工作扩展到涵盖 MD4、MD5、HAVAL-128 和 RIPEMD 系列哈希。

MD5 的破解速度有多快？

对于一般的碰撞（而非预映像攻击），自从 Wang 等人 [W04] 发布公告以来，破解 MD5 所需的时间大大减少了。最初在接近超级计算机（IBM P690）上需要 1 小时，估计在奔腾 3 1.7GHz 上需要 64 小时。不到两年时间，这一时间降至不到 17 秒 [K06a]。

• 2004 年 8 月 - 1 小时，IBM pSeries 690（32x 1.7GHz POWER4+）= 54.4 GHz 小时
• 2005 年 3 月 - 8 小时，奔腾 M 1.6GHz = 12.8 GHz 小时
• 2005 年 11 月 - 5 小时，奔腾 4 1.7GHz = 8.5 GHz 小时
• 2006 年 3 月 - 1 分钟，奔腾 4 3.2GHz = 0.05 GHz 小时
• 2006 年 4 月 - 17 秒，奔腾 4 3.2GHz = 0.01 GHz 小时

如果我们接受 800 倍的因素作为校验和在 2 年内被破解速度提高的样本（使用上述数据，MD5 的速度提高了 >2000 倍），那么现有的校验和在未来没有很大的生存机会。因此，我们应该接受我们今天使用的任何校验和都将在不久的将来被破解，并尽可能地做好计划。（对 SHA1 攻击的简要回顾 [H04] 表明在相同时间段内，速度提高了约 600 倍）。

对于那些声称这些程序的实施尚不可行的人，请参阅 [K06b]，其中有一个应用程序可以生成两个具有相同 MD5 的自解压 EXE 文件，以及您想要的任何有效负载。

好消息

在 Manifest2 目前使用的校验和（SHA1、SHA256、RIPEMD160）中，有一个接近完全被破解：SHA1；另一个被大大削弱：RIPEMD160。SHA2 系列遭受了一些攻击，但仍然相当稳固 [G07]，[K08]。

为了减少未来问题的可能性，以及任何单个校验和被破解导致安全快速下降的情况，我们应该结合每个校验和系列中最强的哈希算法，并准备好主动淘汰旧的校验和，除非有压倒性的理由保留特定校验和，例如作为迁移计划的一部分。

应该怎么做

Portage 应该始终尝试验证 Manifest2 中可用的所有受支持的哈希值，从优先级列表中维护的最强的哈希值开始。随着时间的推移，一旦所有旧的 Portage 安装有足够的时间进行升级，较弱的校验和应该从 Manifest2 文件中移除。一旦 Portage 中有实现可用，就会添加更强的校验和。只要遵循弃用过程，就可以删除较弱的校验和（见下文）。

一旦可行，我们应该添加 SHA512 和 WHIRLPOOL 算法。将来，随着流式校验和的开发（响应 NIST 的开发 [AHS]），应该考虑并使用它们。

SHA512 算法在 Python 2.5 中可用，自大约 Portage 2.1.6.13 以来，Python 2.5 一直是 Portage 的依赖项。

WHIRLPOOL 校验和在 PyCrypto 库或 Python 2.5 中包含的 hashlib 中不可用，但有多个可用的替代 Python 实现，从纯 Python 到基于 C 的（python-mhash）。

除非给定 Manifest 条目没有可用的受支持的哈希值，否则不支持的哈希值的存在不被视为失败。

校验和弃用时间