Даследнікі з французскага дзяржаўнага інстытута даследаванняў у інфарматыцы і аўтаматыцы (INRIA) і Наньянскага тэхналагічнага ўніверсітэта (Сінгапур) прадставілі метад нападу (), які падаецца як першая практычная рэалізацыя нападу на алгарытм SHA-1, якую можна выкарыстоўваць для стварэння фіктыўных лічбавых подпісаў PGP і GnuPG. Даследнікі лічаць, што цяпер усе практычныя напады на MD5 могуць ужывацца і для SHA-1, хоць пакуль усё яшчэ патрабуюць значных рэсурсаў для ажыццяўлення.
Метад заснаваны на правядзенні , Якая дазваляе для двух адвольных набораў дадзеных падабраць дапаўненні, пры прымацаванні якіх на выхадзе атрымаюцца выклікаюць калізію наборы, прымяненне алгарытму SHA-1 для якіх прывядзе да фарміравання аднаго і таго ж выніковага хэша. Іншымі словамі, для двух існуючых дакументаў можна вылічыць два дадаткі, і калі адно далучыць да першага дакумента, а іншае да другога - выніковыя хэшы SHA-1 для гэтых файлаў будуць аднолькавыя.
Новы метад адрозніваецца ад раней прапанаваных падобных тэхнік павышэннем эфектыўнасці пошуку калізіі і дэманстрацыяй практычнага прымянення для нападу на PGP. У прыватнасці, даследнікі змаглі падрыхтаваць два адкрытых PGP-ключа рознага памеру (RSA-8192 і RSA-6144) з адрознымі ідэнтыфікатарамі карыстальніка і з сертыфікатамі, якія выклікаюць калізію SHA-1. уключаў ідэнтыфікатар ахвяры, а уключаў імя і выява атакавалага. Пры гэтым дзякуючы падбору калізіі які ідэнтыфікуе ключы сертыфікат, улучальны ключ і малюнак атакавалага, меў той жа SHA-1 хэш, што і ідэнтыфікацыйны сертыфікат, улучальны ключ і імя ахвяры.
Атакуючы мог запытаць лічбавы подпіс для свайго ключа і выявы ў іншым сведчальным цэнтры, пасля чаго перанесці лічбавы подпіс для ключа ахвяры. Лічбавы подпіс застаецца карэктным з-за калізіі і запэўненні ключа атакавалага які сведчыць цэнтрам, што дазваляе атакаваламу атрымаць кантроль і за ключом з імем ахвяры (бо SHA-1 хэш для абодвух ключоў супадае). У выніку атакавалы можа выдаць сябе за ахвяру і падпісаць любы дакумент ад яе імя.
Атака пакуль застаецца дастаткова затратнай, але ўжо цалкам па кішэні спецслужбам і буйным карпарацыям. Для простага падбору калізіі пры выкарыстанні таннейшага GPU NVIDIA GTX 970 выдаткі склалі 11 тысяч даляраў, а для падбору калізіі з зададзеным прэфіксам - 45 тысяч даляраў (для параўнання ў 2012 годзе выдаткі на падбор калізіі ў SHA-1 ацэньваліся ў 2 млн даляраў, а у 2015 годзе - 700 тысяч). Для здзяйснення практычнага нападу на PGP запатрабавалася два месяцы вылічэнняў з прыцягненнем 900 GPU NVIDIA GTX 1060, арэнда якіх абыйшлася даследнікам у 75 тысяч даляраў.
Прапанаваны даследнікамі метад выяўлення калізій прыкладна ў 10 разоў эфектыўней мінулых дасягненняў - узровень складанасці вылічэнняў калізіі атрымалася звесці да 261.2 аперацыям, замест 264.7, а калізіі з зададзеным прэфіксам да 263.4 аперацыям замест 267.1. Даследнікі рэкамендуюць як мага хутчэй перайсці з SHA-1 на выкарыстанне SHA-256 ці SHA-3, бо па іх прагнозах у 2025 годзе кошт правядзення нападу знізіцца да 10 тысяч долараў.
Распрацоўнікі GnuPG былі апавешчаныя аб праблеме 1 кастрычніка (CVE-2019-14855) і 25 лістапада ў выпуску GnuPG 2.2.18 распачалі меры для блакавання праблемных сертыфікатаў – усе лічбавыя ідэнтыфікавалыя подпісы SHA-1, створаныя пасля 19 студзеня мінулага гады, зараз прызнаюцца не . У CAcert, адным з асноўных якія сведчаць цэнтраў для ключоў PGP, плануюць перайсці на ўжыванне больш бяспечных хэш-функцый для сертыфікацыі ключоў. Распрацоўнікі OpenSSL у адказ на інфармацыю аб новым метадзе нападу вырашылі адключыць SHA-1 на прапанаваным па змаўчанні першым узроўні забеспячэння бяспекі (SHA-1 нельга будзе выкарыстоўваць для сертыфікатаў і лічбавых подпісаў падчас узгадненняў злучэнняў).
Крыніца: opennet.ru