Предложен е метод за откриване на сблъсъци в SHA-1, подходящ за атака на PGP

Изследователи от Френския държавен институт за изследване на информатиката и автоматизацията (INRIA) и Технологичния университет Нанянг (Сингапур) представиха метод за атака Пълна бъркотия (PDF), който се рекламира като първото практическо изпълнение на атака срещу алгоритъма SHA-1, който може да се използва за създаване на фалшиви цифрови подписи за PGP и GnuPG. Изследователите вярват, че сега всички практически атаки срещу MD5 могат да бъдат приложени към SHA-1, въпреки че все още изискват значителни ресурси за изпълнение.

Методът се основава на провеждане атака на сблъсък с даден префикс, което позволява два произволни набора от данни да избират допълнения, когато бъдат прикачени, резултатът ще бъде набори, причиняващи сблъсък, прилагането на алгоритъма SHA-1 за които ще доведе до формирането на същия резултатен хеш. С други думи, две допълнения могат да бъдат изчислени за два съществуващи документа и ако едното е добавено към първия документ, а другото към втория, получените SHA-1 хешове за тези файлове ще бъдат еднакви.

Новият метод се различава от предишните предложени подобни техники, като подобрява ефективността на откриването на сблъсък и демонстрира практическо приложение за атака на PGP. По-специално, изследователите успяха да подготвят два PGP публични ключа с различни размери (RSA-8192 и RSA-6144) с различни потребителски идентификатори и със сертификати, причиняващи SHA-1 сблъсък. Първи ключ включен ID на жертвата и втори ключ включваше името и снимката на нападателя. В същото време, поради избор на сблъсък, сертификатът за идентифициране на ключ, който включваше ключа и изображението на атакуващия, имаше същия SHA-1 хеш като сертификата за идентификация, който включваше ключа и името на жертвата.

Нападателят може да поиска цифров подпис за своя ключ и изображение от сертифициращ орган на трета страна и след това да прехвърли цифровия подпис за ключа на жертвата. Цифровият подпис остава валиден поради сблъсъка и проверката на ключа на атакуващия от сертифициращия орган, което позволява на атакуващия да получи контрол върху ключа с името на жертвата (тъй като SHA-1 хешът за двата ключа е един и същ). В резултат на това нападателят може да се представи за жертвата и да подпише всеки документ от нейно име.

Атаката все още е доста скъпа, но вече е доста достъпна за специалните служби и големите корпорации. За просто откриване на сблъсък с помощта на по-евтин NVIDIA GTX 970 GPU, цената беше $11 45, а за откриване на сблъсък с даден префикс $2012 1 (за сравнение, през 2 г. цената на откриването на сблъсък в SHA-2015 беше оценена на $700 милиона, а през 900 г. - 1060 хиляди). Практическата атака срещу PGP отне два месеца изчисления с помощта на 75 графични процесора NVIDIA GTX XNUMX, което струваше на изследователите $XNUMX XNUMX за наем.

Предложеният от изследователите метод за откриване на сблъсъци е около 10 пъти по-ефективен от минали постижения - нивото на сложност на изчислителните сблъсъци е намалено до 261.2 операции, вместо 264.7, а сблъсъци с даден префикс до 263.4 операции вместо 267.1. Изследователите препоръчват преминаване от SHA-1 към използване на SHA-256 или SHA-3 възможно най-скоро, тъй като прогнозират, че цената за извършване на атака ще падне до $2025 10 през XNUMX г.

Разработчиците на GnuPG бяха уведомени за проблема на 1 октомври (CVE-2019-14855) и предприеха действия на 25 ноември с пускането на GnuPG 2.2.18, за да блокират проблемните сертификати – всички цифрови подписи SHA-1, създадени след 19 януари миналата година вече са признати за невалидни. CAcert, един от основните CA за PGP ключове, планира да премине към по-сигурни хеш функции за сертифициране на ключове. Разработчиците на OpenSSL, в отговор на информация за нов метод за атака, решиха да деактивират SHA-1 на първото ниво на защита по подразбиране (SHA-1 няма да се използва за сертификати и цифрови подписи по време на преговори за връзка).

Източник: opennet.ru