Navorsers van die Franse Nasionale Instituut vir Navorsing in Informatika en Outomatisering (INRIA) en Nanyang Tegnologiese Universiteit (Singapoer) verbeter na die SHA-1-algoritme, wat die skepping van twee verskillende dokumente met dieselfde SHA-1-hashes aansienlik vergemaklik. Die essensie van die metode is om die werking van 'n volle botsing seleksie in SHA-1 te verminder tot , waarin 'n botsing plaasvind wanneer sekere voorvoegsels teenwoordig is, ongeag die res van die data in die stel. Met ander woorde, jy kan twee vooraf gedefinieerde voorvoegsels bereken en as jy een aan een dokument en die ander aan 'n tweede heg, sal die gevolglike SHA-1-hashes vir hierdie lêers dieselfde wees.
Hierdie tipe aanval verg steeds groot berekeninge en die keuse van voorvoegsels bly meer ingewikkeld as die gewone keuse van botsings, maar die praktiese doeltreffendheid van die resultaat is aansienlik hoër. Terwyl tot nou toe die vinnigste metode vir die vind van botsingsvoorvoegsels in SHA-1 277.1 bewerkings vereis het, verminder die nuwe metode die aantal berekeninge tot 'n reeks van 266.9 tot 269.4. Met hierdie vlak van rekenaars is die geraamde koste van 'n aanval minder as honderdduisend dollar, wat binne die middel van intelligensie-agentskappe en groot korporasies is. Ter vergelyking, soek na 'n gereelde botsing vereis ongeveer 264.7 bewerkings.
В Google se vermoë om verskillende PDF-lêers met dieselfde SHA-1-hash te genereer 'n truuk wat behels die samevoeging van twee dokumente in een lêer, die omskakeling van die sigbare laag en die verskuiwing van die laagkeusemerk na die area waar die botsing plaasvind. Met soortgelyke hulpbronkoste (Google het 'n jaar van rekenaarwerk op 'n groep van 1 GPU's spandeer om die eerste SHA-110-botsing te vind), laat die nuwe metode jou toe om 'n SHA-1-passing vir twee arbitrêre datastelle te bereik. Aan die praktiese kant kan u TLS-sertifikate voorberei wat verskillende domeine noem, maar dieselfde SHA-1-hashes het. Hierdie kenmerk laat 'n gewetenlose sertifiseringsowerheid toe om 'n sertifikaat vir 'n digitale handtekening te skep, wat gebruik kan word om fiktiewe sertifikate vir arbitrêre domeine te magtig. Die probleem kan ook gebruik word om protokolle te kompromitteer wat staatmaak op botsingvermyding, soos TLS, SSH en IPsec.
Die voorgestelde strategie om voorvoegsels vir botsings te soek behels die verdeling van die berekeninge in twee fases. Die eerste fase soek na blokke wat op die rand van 'n botsing is deur ewekansige kettingveranderlikes in 'n voorafbepaalde teikenverskilstel in te sluit. In die tweede stadium, op die vlak van individuele blokke, word die gevolglike kettings van verskille vergelyk met pare state wat tot botsings lei, met behulp van metodes van tradisionele botsingseleksie-aanvalle.
Ten spyte van die feit dat die teoretiese moontlikheid van 'n aanval op SHA-1 reeds in 2005 bewys is, en in die praktyk was die eerste botsing in 2017 is SHA-1 steeds in gebruik en word gedek deur sommige standaarde en tegnologieë (TLS 1.2, Git, ens.). Die hoofdoel van die werk wat gedoen is, was om nog 'n oortuigende argument te verskaf vir die onmiddellike staking van die gebruik van SHA-1, veral in sertifikate en digitale handtekeninge.
Daarbenewens kan dit opgemerk word kriptanalise van bloksyfers , ontwikkel deur die Amerikaanse NSA en goedgekeur as 'n standaard in 2018 .
Die navorsers was in staat om 'n metode te ontwikkel om 'n private sleutel te herwin gebaseer op twee bekende pare gewone teks en syferteks. Met beperkte rekenaarhulpbronne neem die keuse van 'n sleutel van 'n paar uur tot 'n paar dae. Die teoretiese sukseskoers van die aanval word geskat op 0.25, en die praktiese een vir die bestaande prototipe is 0.025.
Bron: opennet.ru