Даследнікі з французскага дзяржаўнага інстытута даследаванняў у інфарматыцы і аўтаматыцы (INRIA) і Наньянскага тэхналагічнага ўніверсітэта (Сінгапур) удасканалены на алгарытм SHA-1, істотна які спрашчае стварэнне двух розных дакументаў з аднолькавымі хэшамі SHA-1. Сутнасць метаду ў звядзенні аперацыі паўнавартаснага падбору калізіі ў SHA-1 да , пры якой калізія ўзнікае пры наяўнасці пэўных прэфіксаў, незалежна ад астатніх дадзеных у наборы. Іншымі словамі, можна вылічыць два наканаваных прэфікса і калі адзін далучыць да аднаго дакумента, а іншы да другога - выніковыя хэшы SHA-1 для гэтых файлаў будуць аднолькавыя.
Дадзены выгляд нападу ўсё яшчэ патрабуе велізарных вылічэнняў і падбор прэфіксаў застаецца складаней, чым звычайны падбор калізій, але і практычная эфектыўнасць выніку істотна вышэй. Калі да гэтага часу самы хуткі метад пошуку прэфіксаў калізіі ў SHA-1 патрабаваў выканання 277.1 аперацый, то новы метад зніжае колькасць вылічэнняў да дыяпазону ад 266.9 да 269.4. Пры такім узроўні вылічэнняў арыенціровачны кошт атакі складае менш за сто тысяч долараў, што цалкам па кішэні спецслужбам і буйным карпарацыям. Для параўнання на пошук звычайнай калізіі неабходна выканаць прыкладна 264.7/XNUMX аперацый.
В Google магчымасці генерацыі розных PDF-файлаў з аднолькавым хэшам SHA-1 хітрасць з аб'яднаннем у адзін файл двух дакументаў, пераключэннем бачнага пласта і зрушэннем пазнакі выбару пласта ў вобласць узнікнення калізіі. Пры блізкіх выдатках рэсурсаў (на пошук першай калізіі SHA-1 Google выдаткаваў год вылічэнняў на кластары з 110 GPU) новы метад дазваляе дамагчыся супадзенні SHA-1 для двух адвольных набораў дадзеных. З практычнага боку можна падрыхтаваць TLS-сертыфікаты, у якіх згадваюцца розныя дамены, але супадаюць хэшы SHA-1. Падобная магчымасць дазваляе нячыстаму на руку які сведчыць цэнтру стварыць сертыфікат для лічбавага подпісу, якую можна ўжываць для аўтарызацыі фіктыўных сертыфікатаў да адвольных даменаў. Праблема таксама можа выкарыстоўвацца для кампраметацыі пратаколаў, якія належаць на адсутнасць калізій, такіх як TLS, SSH і IPsec.
Прапанаваная стратэгія пошуку прэфіксаў для калізіі мае на ўвазе разбіццё вылічэнняў на два этапы. На першым этапе выконваецца пошук блокаў, якія знаходзяцца на мяжы калізіі, шляхам убудавання выпадковых зменных ланцужкоў у наканаваны мэтавы набор адрозненняў. На другім этапе на ўзроўні асобных блокаў атрыманыя ланцужкі адрозненняў супастаўляюцца з якія прыводзяць да калізій парамі станаў, выкарыстоўваючы метады традыцыйных нападаў па падборы калізій.
Нягледзячы на тое, што тэарэтычная магчымасць нападу на SHA-1 даказаная яшчэ ў 2005 году, а на практыку першая калізія была у 2017 годзе, SHA-1 усё яшчэ застаецца ва ўжытку і ахопліваецца некаторымі стандартамі і тэхналогіямі (TLS 1.2, Git і да т.п.). Асноўнай мэтай праведзенай працы было жаданне падаць яшчэ адзін важкі аргумент для неадкладнага спынення выкарыстання SHA-1, асабліва ў сертыфікатах і лічбавых подпісах.
Дадаткова можна адзначыць крыптааналізу блокавых шыфраў , распрацаваных АНБ ЗША і ў 2018 годзе зацверджаных у якасці стандарту .
Даследчыкам удалося распрацаваць метад аднаўлення закрытага ключа на аснове дзвюх вядомых пар з адкрытага тэксту і шыфратэксту. Пры абмежаваных вылічальных рэсурсах на падбор ключа патрабуецца ад некалькіх гадзін да некалькіх дзён. Тэарэтычны каэфіцыент паспяховасці нападу ацэньваецца ў 0.25, а практычны для наяўнага прататыпа - 0.025.
Крыніца: opennet.ru