Výzkumníci z Francouzského národního institutu pro výzkum informatiky a automatizace (INRIA) a technologické univerzity Nanyang (Singapur) zlepšila na algoritmus SHA-1, který výrazně zjednodušuje vytváření dvou různých dokumentů se stejnými hodnotami hash SHA-1. Podstatou metody je snížit provoz plného výběru kolizí v SHA-1 na , ve kterém dochází ke kolizi, když jsou přítomny určité prefixy, bez ohledu na zbytek dat v sadě. Jinými slovy, můžete vypočítat dvě předdefinované předpony a pokud jednu připojíte k jednomu dokumentu a druhou ke druhému, výsledné hodnoty hash SHA-1 pro tyto soubory budou stejné.
Tento typ útoku stále vyžaduje obrovské výpočty a výběr prefixů zůstává komplikovanější než běžný výběr kolizí, ale praktická efektivita výsledku je výrazně vyšší. Zatímco dosud nejrychlejší metoda pro hledání prefixů kolizí v SHA-1 vyžadovala 277.1 operací, nová metoda snižuje počet výpočtů na rozsah od 266.9 do 269.4. S touto úrovní výpočetní techniky jsou odhadované náklady na útok méně než sto tisíc dolarů, což je v rámci možností zpravodajských agentur a velkých korporací. Pro srovnání, hledání pravidelné kolize vyžaduje přibližně 264.7 operací.
В Schopnost Google generovat různé soubory PDF se stejným hashem SHA-1 trik zahrnující sloučení dvou dokumentů do jednoho souboru, přepnutí viditelné vrstvy a posunutí značky pro výběr vrstvy do oblasti, kde dochází ke kolizi. S podobnými náklady na zdroje (Google strávil rok výpočtů na clusteru 1 GPU, aby našel první kolizi SHA-110) vám nová metoda umožňuje dosáhnout shody SHA-1 pro dvě libovolné sady dat. Z praktického hlediska můžete připravit certifikáty TLS, které zmiňují různé domény, ale mají stejné hashe SHA-1. Tato funkce umožňuje bezohledné certifikační autoritě vytvořit certifikát pro digitální podpis, který lze použít k autorizaci fiktivních certifikátů pro libovolné domény. Tento problém lze také použít ke kompromitaci protokolů, které se spoléhají na předcházení kolizím, jako jsou TLS, SSH a IPsec.
Navrhovaná strategie pro vyhledávání prefixů pro kolize zahrnuje rozdělení výpočtů do dvou fází. První fáze hledá bloky, které jsou na pokraji kolize, vložením náhodných řetězových proměnných do předem definované cílové rozdílové sady. Ve druhé fázi, na úrovni jednotlivých bloků, jsou výsledné řetězce rozdílů porovnávány s dvojicemi stavů vedoucích ke srážkám pomocí metod tradičních útoků na výběr kolize.
Navzdory tomu, že teoretická možnost útoku na SHA-1 byla prokázána již v roce 2005 a v praxi byla první kolize v roce 2017 je SHA-1 stále používán a je pokryt některými standardy a technologiemi (TLS 1.2, Git atd.). Hlavním účelem vykonané práce bylo poskytnout další přesvědčivý argument pro okamžité ukončení používání SHA-1, zejména v certifikátech a digitálních podpisech.
Navíc lze poznamenat dešifrování blokových šifer , vyvinutý americkou NSA a schválený jako standard v roce 2018 .
Výzkumníci byli schopni vyvinout metodu pro obnovení soukromého klíče na základě dvou známých párů prostého textu a šifrovaného textu. S omezenými výpočetními zdroji trvá výběr klíče několik hodin až několik dní. Teoretická úspěšnost útoku se odhaduje na 0.25 a praktická pro stávající prototyp je 0.025.
Zdroj: opennet.ru