Istraživači sa Francuskog državnog instituta za istraživanje u informatici i automatizaciji (INRIA) i Tehnološkog univerziteta Nanyang (Singapur) predstavili su metodu napada (), koji se reklamira kao prva praktična implementacija napada na SHA-1 algoritam koji se može koristiti za kreiranje lažnih digitalnih potpisa za PGP i GnuPG. Istraživači vjeruju da se sada svi praktični napadi na MD5 mogu primijeniti na SHA-1, iako su i dalje potrebni značajni resursi za implementaciju.
Metoda se zasniva na dirigovanju , koji omogućava da dva proizvoljna skupa podataka biraju dodatke, kada se prikače, rezultat će biti skupovi koji izazivaju koliziju, a primjena SHA-1 algoritma za koji će dovesti do formiranja istog rezultirajućeg hash-a. Drugim riječima, dva komplementa se mogu izračunati za dva postojeća dokumenta, i ako se jedan doda prvom dokumentu, a drugi drugom, rezultirajući SHA-1 hešovi za ove datoteke će biti isti.
Nova metoda se razlikuje od ranije predloženih sličnih tehnika po poboljšanju efikasnosti detekcije sudara i demonstriranju praktične primjene za napad na PGP. Konkretno, istraživači su bili u mogućnosti da pripreme dva PGP javna ključa različitih veličina (RSA-8192 i RSA-6144) sa različitim korisničkim ID-ovima i sa sertifikatima koji uzrokuju SHA-1 koliziju. uključio identifikaciju žrtve, i sadrži ime i sliku napadača. Istovremeno, zbog odabira kolizije, certifikat koji identifikuje ključeve, uključujući ključ i sliku napadača, imao je isti SHA-1 heš kao identifikacijski certifikat, uključujući ključ i ime žrtve.
Napadač može zatražiti digitalni potpis za svoj ključ i sliku od treće strane za sertifikaciju, a zatim prenijeti digitalni potpis za ključ žrtve. Digitalni potpis ostaje važeći zbog kolizije i verifikacije ključa napadača od strane sertifikacionog tijela, što omogućava napadaču da preuzme kontrolu nad ključem s imenom žrtve (pošto je SHA-1 hash za oba ključa isti) . Kao rezultat toga, napadač se može lažno predstavljati kao žrtva i potpisati bilo koji dokument u njeno ime.
Napad je još uvijek prilično skup, ali je već prilično pristupačan za specijalne službe i velike korporacije. Za jednostavnu detekciju sudara korišćenjem jeftinijeg NVIDIA GTX 970 GPU-a, trošak je bio 11 dolara, a za uparivanje kolizije sa datim prefiksom - 45 dolara (za poređenje, 2012. godine trošak uparivanja kolizije u SHA-1 bio je procenjen na 2 miliona dolara , a 2015. godine - 700 hiljada). Praktični napad na PGP trajao je dva mjeseca računanja koristeći 900 NVIDIA GTX 1060 GPU-a, što je istraživače koštalo 75 dolara za iznajmljivanje.
Metoda koju su istraživači predložili za otkrivanje kolizija je oko 10 puta efikasnija od dosadašnjih dostignuća – nivo složenosti računarskih kolizija smanjen je na 261.2 operacije, umjesto 264.7, a kolizije sa datim prefiksom na 263.4 operacije umjesto 267.1. Istraživači preporučuju prelazak sa SHA-1 na korištenje SHA-256 ili SHA-3 što je prije moguće, jer predviđaju da će cijena izvođenja napada pasti na 2025 dolara 10. godine.
Programeri GnuPG-a su obaviješteni o problemu 1. oktobra (CVE-2019-14855) i preduzeli su akciju 25. novembra sa izdanjem GnuPG 2.2.18 da blokiraju problematične sertifikate - sve SHA-1 digitalne potpise kreirane nakon 19. januara prošle godine su sada prepoznate kao nevažeće. CAcert, jedan od glavnih CA za PGP ključeve, planira da pređe na sigurnije hash funkcije za certifikaciju ključeva. Programeri OpenSSL-a, kao odgovor na informacije o novom metodu napada, odlučili su da onemoguće SHA-1 na zadanom prvom sigurnosnom nivou (SHA-1 se neće koristiti za certifikate i digitalne potpise tokom pregovora o vezi).
izvor: opennet.ru