Istraživači sa Francuskog državnog instituta za istraživanje u informatici i automatizaciji (INRIA) i Tehnološkog univerziteta Nanyang (Singapur) predstavili su metodu napada
Metoda se zasniva na dirigovanju
Nova metoda se razlikuje od ranije predloženih sličnih tehnika po poboljšanju efikasnosti detekcije sudara i demonstriranju praktične primjene za napad na PGP. Konkretno, istraživači su bili u mogućnosti da pripreme dva PGP javna ključa različitih veličina (RSA-8192 i RSA-6144) sa različitim korisničkim ID-ovima i sa sertifikatima koji uzrokuju SHA-1 koliziju.
Napadač može zatražiti digitalni potpis za svoj ključ i sliku od treće strane za sertifikaciju, a zatim prenijeti digitalni potpis za ključ žrtve. Digitalni potpis ostaje važeći zbog kolizije i verifikacije ključa napadača od strane sertifikacionog tijela, što omogućava napadaču da preuzme kontrolu nad ključem s imenom žrtve (pošto je SHA-1 hash za oba ključa isti) . Kao rezultat toga, napadač se može lažno predstavljati kao žrtva i potpisati bilo koji dokument u njeno ime.
Napad je još uvijek prilično skup, ali je već prilično pristupačan za specijalne službe i velike korporacije. Za jednostavnu detekciju sudara korišćenjem jeftinijeg NVIDIA GTX 970 GPU-a, trošak je bio 11 dolara, a za uparivanje kolizije sa datim prefiksom - 45 dolara (za poređenje, 2012. godine trošak uparivanja kolizije u SHA-1 bio je procenjen na 2 miliona dolara , a 2015. godine - 700 hiljada). Praktični napad na PGP trajao je dva mjeseca računanja koristeći 900 NVIDIA GTX 1060 GPU-a, što je istraživače koštalo 75 dolara za iznajmljivanje.
Metoda koju su istraživači predložili za otkrivanje kolizija je oko 10 puta efikasnija od dosadašnjih dostignuća – nivo složenosti računarskih kolizija smanjen je na 261.2 operacije, umjesto 264.7, a kolizije sa datim prefiksom na 263.4 operacije umjesto 267.1. Istraživači preporučuju prelazak sa SHA-1 na korištenje SHA-256 ili SHA-3 što je prije moguće, jer predviđaju da će cijena izvođenja napada pasti na 2025 dolara 10. godine.
Programeri GnuPG-a su obaviješteni o problemu 1. oktobra (CVE-2019-14855) i preduzeli su akciju 25. novembra sa izdanjem GnuPG 2.2.18 da blokiraju problematične sertifikate - sve SHA-1 digitalne potpise kreirane nakon 19. januara prošle godine su sada prepoznate kao nevažeće. CAcert, jedan od glavnih CA za PGP ključeve, planira da pređe na sigurnije hash funkcije za certifikaciju ključeva. Programeri OpenSSL-a, kao odgovor na informacije o novom metodu napada, odlučili su da onemoguće SHA-1 na zadanom prvom sigurnosnom nivou (SHA-1 se neće koristiti za certifikate i digitalne potpise tokom pregovora o vezi).
izvor: opennet.ru