Представен е по-ефективен метод за определяне на префикси на колизия за SHA-1.

Изследователи от Френския национален институт за изследване на информатиката и автоматизацията (INRIA) и Технологичния университет Нанянг (Сингапур) развити подобрен метод атаки към алгоритъма SHA-1, което значително опростява създаването на два различни документа с еднакви SHA-1 хешове. Същността на метода е да се намали операцията за избор на пълен сблъсък в SHA-1 до атака на сблъсък с даден префикс, в който възниква сблъсък, когато са налични определени префикси, независимо от останалите данни в набора. С други думи, можете да изчислите два предварително дефинирани префикса и ако прикачите единия към един документ, а другия към втори, получените SHA-1 хешове за тези файлове ще бъдат еднакви.

Този тип атака все още изисква огромни изчисления и изборът на префикси остава по-сложен от обичайния избор на сблъсъци, но практическата ефективност на резултата е значително по-висока. Докато досега най-бързият метод за намиране на префикси на сблъсък в SHA-1 изискваше 277.1 операции, новият метод намалява броя на изчисленията до диапазон от 266.9 до 269.4. С това ниво на изчисление приблизителната цена на една атака е по-малко от сто хиляди долара, което е напълно в рамките на възможностите на разузнавателните агенции и големите корпорации. За сравнение, търсенето на нормален сблъсък изисква приблизително 264.7 операции.

В последно демонстрации Възможност на Google да генерира различни PDF файлове с един и същ SHA-1 хеш използвани трик, включващ сливане на два документа в един файл, превключване на видимия слой и преместване на маркировката за избор на слой към областта, където възниква сблъсъкът. С подобни разходи за ресурси (Google прекара една година в изчисления върху клъстер от 1 графични процесора, за да открие първия сблъсък на SHA-110), новият метод ви позволява да постигнете съвпадение на SHA-1 за два произволни набора от данни. От практическа страна можете да подготвите TLS сертификати, които споменават различни домейни, но имат еднакви SHA-1 хешове. Тази функция позволява на безскрупулен сертифициращ орган да създаде сертификат за цифров подпис, който може да се използва за разрешаване на фиктивни сертификати за произволни домейни. Проблемът може да се използва и за компрометиране на протоколи, които разчитат на избягване на сблъсък, като TLS, SSH и IPsec.

Предложената стратегия за търсене на префикси за сблъсъци включва разделяне на изчисленията на два етапа. Първият етап търси блокове, които са на ръба на сблъсък чрез вграждане на произволни верижни променливи в предварително дефиниран набор от целеви разлики. На втория етап, на ниво отделни блокове, получените вериги от разлики се сравняват с двойки състояния, водещи до сблъсъци, като се използват методи на традиционни атаки за избор на сблъсък.

Въпреки факта, че теоретичната възможност за атака срещу SHA-1 беше доказана още през 2005 г., а на практика първият сблъсък беше вдигнати през 2017 г. SHA-1 все още се използва и е обхванат от някои стандарти и технологии (TLS 1.2, Git и др.). Основната цел на извършената работа беше да предостави още един убедителен аргумент за незабавното прекратяване на използването на SHA-1, особено в сертификатите и цифровите подписи.

Освен това може да се отбележи публикация резултати криптоанализ на блокови шифри СИМОН-32/64, разработен от NSA на САЩ и одобрен като стандарт през 2018 г ISO/IEC 29167-21:2018.
Изследователите успяха да разработят метод за възстановяване на частен ключ, базиран на две известни двойки обикновен текст и шифрован текст. При ограничени изчислителни ресурси изборът на ключ отнема от няколко часа до няколко дни. Теоретичната успеваемост на атаката се оценява на 0.25, а практическата за съществуващия прототип е 0.025.

Източник: opennet.ru