Navorsers van die Franse Staatsinstituut vir Navorsing in Informatika en Outomatisering (INRIA) en Nanyang Tegnologiese Universiteit (Singapoer) het 'n aanvalsmetode aangebied (), wat voorgehou word as die eerste praktiese implementering van 'n aanval op die SHA-1-algoritme wat gebruik kan word om vals PGP- en GnuPG-digitale handtekeninge te skep. Die navorsers glo dat alle praktiese aanvalle op MD5 nou op SHA-1 toegepas kan word, hoewel dit steeds aansienlike hulpbronne benodig om te implementeer.
Die metode is gebaseer op die uitvoering , wat jou toelaat om byvoegings vir twee arbitrΓͺre datastelle te kies, wanneer aangeheg, sal die uitset stelle produseer wat 'n botsing veroorsaak, waarvan die toepassing van die SHA-1-algoritme sal lei tot die vorming van dieselfde gevolglike hash. Met ander woorde, vir twee bestaande dokumente kan twee komplemente bereken word, en as een by die eerste dokument en die ander by die tweede aangeheg word, sal die gevolglike SHA-1-hashes vir hierdie lΓͺers dieselfde wees.
Die nuwe metode verskil van voorheen voorgestelde soortgelyke tegnieke deur die doeltreffendheid van botsingsoektog te verhoog en praktiese toepassing vir die aanval van PGP te demonstreer. Die navorsers kon veral twee PGP publieke sleutels van verskillende groottes (RSA-8192 en RSA-6144) voorberei met verskillende gebruikers-ID's en met sertifikate wat 'n SHA-1-botsing veroorsaak. ingesluit die slagoffer ID, en die naam en beeld van die aanvaller ingesluit. Boonop, danksy botsing, het die sleutelidentifiseringsertifikaat, insluitend die sleutel en die aanvaller se beeld, dieselfde SHA-1-hash as die identifikasiesertifikaat gehad, insluitend die slagoffer se sleutel en naam.
Die aanvaller kan 'n digitale handtekening vir sy sleutel en beeld van 'n derdeparty-sertifiseringsowerheid versoek, en dan die digitale handtekening vir die slagoffer se sleutel oordra. Die digitale handtekening bly korrek as gevolg van die botsing en verifikasie van die aanvaller se sleutel deur 'n sertifiseringsowerheid, wat die aanvaller toelaat om beheer oor die sleutel met die slagoffer se naam te verkry (aangesien die SHA-1-hash vir beide sleutels dieselfde is). Gevolglik kan die aanvaller die slagoffer naboots en enige dokument namens haar onderteken.
Die aanval is steeds redelik duur, maar reeds redelik bekostigbaar vir intelligensiedienste en groot korporasies. Vir 'n eenvoudige botsing seleksie met 'n goedkoper NVIDIA GTX 970 GPU, was die koste 11 duisend dollar, en vir 'n botsing seleksie met 'n gegewe voorvoegsel - 45 duisend dollar (ter vergelyking, in 2012, was die koste vir botsing seleksie in SHA-1 geskat op 2 miljoen dollar, en in 2015 - 700 duisend). Om 'n praktiese aanval op PGP uit te voer, het dit twee maande se rekenaar met 900 NVIDIA GTX 1060 GPU's geneem, waarvan die huur die navorsers $75 XNUMX gekos het.
Die botsingsopsporingsmetode wat deur die navorsers voorgestel is, is ongeveer 10 keer meer doeltreffend as vorige prestasies - die kompleksiteitsvlak van botsingsberekeninge is verminder tot 261.2 bewerkings, in plaas van 264.7, en botsings met 'n gegewe voorvoegsel na 263.4 bewerkings in plaas van 267.1. Die navorsers beveel aan om so gou moontlik van SHA-1 na SHA-256 of SHA-3 oor te skakel, aangesien hulle voorspel dat die koste van 'n aanval teen 2025 tot $10 XNUMX sal daal.
Die GnuPG-ontwikkelaars is op 1 Oktober (CVE-2019-14855) van die probleem in kennis gestel en het op 25 November opgetree om die problematiese sertifikate te blokkeer in die vrystelling van GnuPG 2.2.18 - alle SHA-1 digitale identiteitshandtekeninge wat na 19 Januarie van verlede jaar word nou as verkeerd erken. CAcert, een van die belangrikste sertifiseringsowerhede vir PGP-sleutels, beplan om oor te skakel na die gebruik van veiliger hash-funksies vir sleutelsertifisering. Die OpenSSL-ontwikkelaars, in reaksie op inligting oor 'n nuwe aanvalmetode, het besluit om SHA-1 op die verstek eerste vlak van sekuriteit te deaktiveer (SHA-1 kan nie vir sertifikate en digitale handtekeninge tydens die verbindingsonderhandelingsproses gebruik word nie).
Bron: opennet.ru