قدم باحثون من معهد الدولة الفرنسية لأبحاث المعلوماتية والأتمتة (INRIA) وجامعة نانيانغ التكنولوجية (سنغافورة) طريقة للهجوم
تعتمد الطريقة على التنفيذ
تختلف الطريقة الجديدة عن التقنيات المماثلة المقترحة سابقًا من خلال زيادة كفاءة البحث عن الاصطدام وإظهار التطبيق العملي لمهاجمة PGP. على وجه الخصوص، تمكن الباحثون من إعداد مفتاحين عموميين لـ PGP بأحجام مختلفة (RSA-8192 وRSA-6144) بمعرفات مستخدم مختلفة وبشهادات تسبب تصادم SHA-1.
يمكن للمهاجم أن يطلب توقيعًا رقميًا لمفتاحه وصورته من مرجع مصدق تابع لجهة خارجية، ثم ينقل التوقيع الرقمي لمفتاح الضحية. يظل التوقيع الرقمي صحيحًا بسبب تصادم مفتاح المهاجم والتحقق منه من قبل سلطة التصديق، مما يسمح للمهاجم بالتحكم في المفتاح الذي يحمل اسم الضحية (نظرًا لأن تجزئة SHA-1 لكلا المفتاحين هي نفسها). ونتيجة لذلك، يمكن للمهاجم انتحال شخصية الضحية والتوقيع على أي وثيقة نيابة عنها.
يظل الهجوم مكلفًا للغاية، ولكنه بالفعل في متناول أجهزة المخابرات والشركات الكبرى. بالنسبة لاختيار تصادم بسيط باستخدام وحدة معالجة الرسومات NVIDIA GTX 970 الأرخص، كانت التكاليف 11 ألف دولار، ولاختيار تصادم ببادئة معينة - 45 ألف دولار (للمقارنة، في عام 2012، كانت تكاليف اختيار التصادم في SHA-1 تقدر بنحو 2 مليون دولار، وفي عام 2015 - 700 ألف). لتنفيذ هجوم عملي على PGP، استغرق الأمر شهرين من الحوسبة باستخدام 900 وحدة معالجة رسوميات NVIDIA GTX 1060، والتي كلف استئجارها الباحثين 75 دولار.
تعد طريقة اكتشاف الاصطدام التي اقترحها الباحثون أكثر فعالية بحوالي 10 مرات من الإنجازات السابقة - حيث تم تقليل مستوى تعقيد حسابات الاصطدام إلى 261.2 عملية، بدلاً من 264.7، والاصطدامات ببادئة معينة إلى 263.4 عملية بدلاً من 267.1. ويوصي الباحثون بالتبديل من SHA-1 إلى استخدام SHA-256 أو SHA-3 في أقرب وقت ممكن، حيث يتوقعون انخفاض تكلفة الهجوم إلى 2025 دولار بحلول عام 10.
تم إخطار مطوري GnuPG بالمشكلة في 1 أكتوبر (CVE-2019-14855) واتخذوا إجراءً لحظر الشهادات التي بها مشكلات في 25 نوفمبر في إصدار GnuPG 2.2.18 - جميع توقيعات الهوية الرقمية SHA-1 التي تم إنشاؤها بعد 19 يناير من تم التعرف الآن على العام الماضي على أنه غير صحيح. تخطط CAcert، إحدى هيئات التصديق الرئيسية لمفاتيح PGP، للتحول إلى استخدام وظائف تجزئة أكثر أمانًا للحصول على شهادة المفاتيح. قرر مطورو OpenSSL، ردًا على معلومات حول طريقة هجوم جديدة، تعطيل SHA-1 عند المستوى الأول الافتراضي للأمان (لا يمكن استخدام SHA-1 للشهادات والتوقيعات الرقمية أثناء عملية التفاوض على الاتصال).
المصدر: opennet.ru