Vědci z Francouzského státního institutu pro výzkum informatiky a automatizace (INRIA) a Technologické univerzity Nanyang (Singapur) představili metodu útoku (), který je nabízen jako první praktická implementace útoku na algoritmus SHA-1, který lze použít k vytvoření falešných digitálních podpisů PGP a GnuPG. Vědci se domnívají, že všechny praktické útoky na MD5 lze nyní aplikovat na SHA-1, i když jejich implementace stále vyžaduje značné zdroje.
Metoda je založena na provádění , který umožňuje vybrat sčítání pro dvě libovolné datové sady, po připojení výstup vytvoří sady, které způsobí kolizi, přičemž aplikace algoritmu SHA-1 povede k vytvoření stejného výsledného hashe. Jinými slovy, pro dva existující dokumenty lze vypočítat dva doplňky, a pokud je jeden připojen k prvnímu dokumentu a druhý k druhému, výsledné hodnoty hash SHA-1 pro tyto soubory budou stejné.
Nová metoda se liší od dříve navrhovaných podobných technik zvýšením efektivity vyhledávání kolizí a demonstrací praktické aplikace pro útok na PGP. Konkrétně se vědcům podařilo připravit dva veřejné klíče PGP různých velikostí (RSA-8192 a RSA-6144) s různými ID uživatele a s certifikáty, které způsobují kolizi SHA-1. včetně ID oběti a včetně jména a obrázku útočníka. Navíc díky výběru kolize měl klíč identifikující certifikát včetně klíče a obrazu útočníka stejný hash SHA-1 jako identifikační certifikát, včetně klíče a jména oběti.
Útočník by si mohl vyžádat digitální podpis pro svůj klíč a obrázek od certifikační autority třetí strany a poté přenést digitální podpis pro klíč oběti. Digitální podpis zůstává správný kvůli kolizi a ověření klíče útočníka certifikační autoritou, což útočníkovi umožňuje získat kontrolu nad klíčem se jménem oběti (protože hash SHA-1 pro oba klíče je stejný). Díky tomu se útočník může vydávat za oběť a podepisovat jejím jménem jakýkoli dokument.
Útok je stále poměrně nákladný, ale pro zpravodajské služby a velké korporace už docela dostupný. Za jednoduchý výběr kolize pomocí levnějšího GPU NVIDIA GTX 970 byly náklady 11 tisíc dolarů a za výběr kolize s daným prefixem - 45 tisíc dolarů (pro srovnání v roce 2012 byly odhadovány náklady na výběr kolize v SHA-1 na 2 miliony dolarů a v roce 2015 - 700 tisíc). Provedení praktického útoku na PGP trvalo dva měsíce počítání pomocí 900 GPU NVIDIA GTX 1060, jejichž pronájem stál výzkumníky 75 XNUMX dolarů.
Metoda detekce kolizí navržená výzkumníky je přibližně 10krát účinnější než předchozí úspěchy – úroveň složitosti výpočtů kolizí byla snížena na 261.2 operací namísto 264.7 a kolize s danou předponou na 263.4 operací namísto 267.1. Vědci doporučují přejít z SHA-1 na používání SHA-256 nebo SHA-3 co nejdříve, protože předpovídají, že náklady na útok do roku 2025 klesnou na 10 XNUMX USD.
Vývojáři GnuPG byli na problém upozorněni 1. října (CVE-2019-14855) a podnikli kroky k zablokování problematických certifikátů 25. listopadu ve vydání GnuPG 2.2.18 – všechny podpisy digitální identity SHA-1 vytvořené po 19. loňský rok jsou nyní považovány za nesprávné. CAcert, jedna z hlavních certifikačních autorit pro klíče PGP, plánuje přejít na používání bezpečnějších hashovacích funkcí pro certifikaci klíčů. Vývojáři OpenSSL se v reakci na informace o nové metodě útoku rozhodli zakázat SHA-1 na výchozí první úrovni zabezpečení (SHA-1 nelze použít pro certifikáty a digitální podpisy během procesu vyjednávání o připojení).
Zdroj: opennet.ru