SHA1 在 PBKDF2 中用作哈希函数仍然安全吗？

Question

由于 SHA1 的加密分析取得了重大进展，因此应该会逐步淘汰它，取而代之的是 SHA2 (wikipedia) 。

然而，当用作 PBKDF2 中的底层哈希函数时，它基本上用作 PRNG。因此，使用 SHA1 作为 PBKDF2 的哈希值应该仍然是安全的，对吧？

Answer 1

当然。如果您想生成更多密钥材料，SHA-256 或更大的值可能会更有效。
但 PBKDF2-HMAC-SHA1 没问题。标准 HMAC 的使用也没有受到影响，但同样，在这种情况下，较长的哈希值原则上更安全。

Answer 2

对 SHA1 的攻击引起了很大的公众骚乱，使得构造与不同消息具有相同哈希值的消息成为可能。当然，对于每个散列函数来说，这总是可能的（原则上），因为散列函数的输出位少于输入位。然而，这通常不太可能是偶然发生的，故意这样做在计算上应该是不可行的。

从“确保消息完整性”的角度来看，这可以被视为一场灾难。

另一方面，对于生成随机数的目的来说，这完全没有关系。

Answer 3

当前已知的 SHA-1 弱点在 HMAC 中使用时不会对其安全性产生任何影响，在 PBKDF2 中使用时更是如此。就此而言，MD5 也可以（但 MD4 不行）。

然而，SHA-1 对公共关系不利：如果在 2011 年，您使用 SHA-1，那么您必须做好准备，必须证明该选择的合理性。另一方面，SHA-256 是一个很好的“默认函数”，没有人会质疑它。

PBKDF2 不存在性能问题（PBKDF2 包含一个“迭代计数”，旨在使其完全按照需要的速度运行），因此这里没有理由更喜欢 SHA-1 而不是 SHA-256。但是，如果您有一个使用 PBKDF2-with-SHA-1 的现有部署系统，则无需立即“修复”它。