IPSec HMAC-SHA1の脆弱性

秘密のコンテンツの傍受と読み取りを防ぐために、AESのような暗号化アルゴリズムが使用されます。この部分では、HMACはまったく問題になりません。

AES（CBCなど）が安全であると仮定すると、攻撃者は送信または受信しているものを傍受することはできますが、読み取ることはできません。しかし、彼ができることは、データを別のものに変更することです。再びAESが安全であると仮定すると、解読されたときに意味のあるデータを攻撃者が提供する方法はありませんが、ゴミを受け取ったことを自動的に検出することが常に可能であるとは限らないため、それでも問題です。

これがIpSecのHMAC（いずれかのハッシュアルゴリズムを使用）の目的です。これにより、送信中にコンテンツが変更されたかどうかを確認できます。

生のSHA1は思ったほど安全ではありませんが、既知の問題はSHA1を備えたHMACには当てはまりません。基本的に、リスクは攻撃者がメッセージの正しいキーまたはハッシュを推測して、ガベージコンテンツを含む間違ったメッセージが本物であると信じ込ませる可能性に帰着します（それ以上はありません）。

IpSecのSHA1の場合、キーに設定できる値は2 ^ 160です（攻撃者がキーを持っている場合、攻撃者は受信したすべてのメッセージに対してHMACを生成できます。つまり、必要なだけガベージを提供します）。ハッシュ自体の可能な値（攻撃者が取得できた場合、変更できるブロックは1つだけです）。それはより良いかもしれませんが、特に送信が終了する前に正しい値を見つけることはほとんどないため、それほど悪くはありません。
SHA256の場合、対応する値は2 ^ 256および2 ^ 128です。

（RFC 6071、2404、4868も参照）