Cyflwynodd ymchwilwyr o Sefydliad Talaith Ffrainc ar gyfer Ymchwil mewn Gwybodeg ac Awtomeiddio (INRIA) a Phrifysgol Dechnolegol Nanyang (Singapore) ddull ymosod (), sy'n cael ei grybwyll fel gweithrediad ymarferol cyntaf ymosodiad ar yr algorithm SHA-1 y gellir ei ddefnyddio i greu llofnodion digidol PGP a GnuPG ffug. Mae'r ymchwilwyr yn credu y gellir cymhwyso pob ymosodiad ymarferol ar MD5 nawr i SHA-1, er bod angen adnoddau sylweddol arnynt o hyd i'w gweithredu.
Mae'r dull yn seiliedig ar gyflawni , sy'n eich galluogi i ddewis ychwanegiadau ar gyfer dwy set ddata mympwyol, pan fyddant ynghlwm, bydd yr allbwn yn cynhyrchu setiau sy'n achosi gwrthdrawiad, bydd cymhwyso'r algorithm SHA-1 ar ei gyfer yn arwain at ffurfio'r un hash canlyniadol. Mewn geiriau eraill, ar gyfer dwy ddogfen bresennol, gellir cyfrifo dwy gyflenwad, ac os yw un wedi'i atodi i'r ddogfen gyntaf a'r llall i'r ail, bydd y hashes SHA-1 sy'n deillio o hyn ar gyfer y ffeiliau hyn yr un peth.
Mae'r dull newydd yn wahanol i dechnegau tebyg a gynigiwyd yn flaenorol trwy gynyddu effeithlonrwydd chwilio gwrthdrawiadau a dangos cymhwysiad ymarferol ar gyfer ymosod ar PGP. Yn benodol, roedd yr ymchwilwyr yn gallu paratoi dwy allwedd gyhoeddus PGP o wahanol feintiau (RSA-8192 a RSA-6144) gyda gwahanol IDau defnyddwyr a gyda thystysgrifau sy'n achosi gwrthdrawiad SHA-1. cynnwys ID y dioddefwr, a cynnwys enw a delwedd yr ymosodwr. Ar ben hynny, diolch i ddewis gwrthdrawiad, roedd gan y dystysgrif adnabod allwedd, gan gynnwys yr allwedd a delwedd yr ymosodwr, yr un hash SHA-1 Γ’'r dystysgrif adnabod, gan gynnwys allwedd ac enw'r dioddefwr.
Gallai'r ymosodwr ofyn am lofnod digidol ar gyfer ei allwedd a'i ddelwedd gan awdurdod ardystio trydydd parti, ac yna trosglwyddo'r llofnod digidol ar gyfer allwedd y dioddefwr. Mae'r llofnod digidol yn parhau i fod yn gywir oherwydd gwrthdrawiad a dilysiad allwedd yr ymosodwr gan awdurdod ardystio, sy'n caniatΓ‘u i'r ymosodwr ennill rheolaeth ar yr allwedd gydag enw'r dioddefwr (gan fod yr hash SHA-1 ar gyfer y ddwy allwedd yr un peth). O ganlyniad, gall yr ymosodwr ddynwared y dioddefwr a llofnodi unrhyw ddogfen ar ei rhan.
Mae'r ymosodiad yn dal yn eithaf costus, ond eisoes yn eithaf fforddiadwy ar gyfer gwasanaethau cudd-wybodaeth a chorfforaethau mawr. Ar gyfer dewis gwrthdrawiad syml gan ddefnyddio GPU rhatach NVIDIA GTX 970, y costau oedd 11 mil o ddoleri, ac ar gyfer dewis gwrthdrawiad gyda rhagddodiad penodol - 45 mil o ddoleri (er mwyn cymharu, yn 2012 amcangyfrifwyd y costau ar gyfer dewis gwrthdrawiad yn SHA-1 ar 2 miliwn o ddoleri, ac yn 2015 - 700 mil). I gynnal ymosodiad ymarferol ar PGP, cymerodd ddau fis o gyfrifiadura gan ddefnyddio 900 NVIDIA GTX 1060 GPUs, a chostiodd eu rhentu $75 i'r ymchwilwyr.
Mae'r dull canfod gwrthdrawiadau a gynigiwyd gan yr ymchwilwyr tua 10 gwaith yn fwy effeithiol na chyflawniadau blaenorol - gostyngwyd lefel cymhlethdod y cyfrifiadau gwrthdrawiad i 261.2 llawdriniaeth, yn lle 264.7, a gwrthdrawiadau Γ’ rhagddodiad penodol i 263.4 llawdriniaeth yn lle 267.1. Mae'r ymchwilwyr yn argymell newid o SHA-1 i ddefnyddio SHA-256 neu SHA-3 cyn gynted Γ’ phosibl, gan eu bod yn rhagweld y bydd cost ymosodiad yn gostwng i $2025 erbyn 10.
Hysbyswyd datblygwyr GnuPG am y broblem ar Hydref 1 (CVE-2019-14855) a chymerwyd camau i rwystro'r tystysgrifau problemus ar Dachwedd 25 wrth ryddhau GnuPG 2.2.18 - pob llofnod hunaniaeth ddigidol SHA-1 a grΓ«wyd ar Γ΄l Ionawr 19 o y llynedd yn awr yn cael eu cydnabod fel anghywir. Mae CAcert, un o'r prif awdurdodau ardystio ar gyfer allweddi PGP, yn bwriadu newid i ddefnyddio swyddogaethau hash mwy diogel ar gyfer ardystiad allweddol. Penderfynodd datblygwyr OpenSSL, mewn ymateb i wybodaeth am ddull ymosod newydd, analluogi SHA-1 ar y lefel diogelwch cyntaf rhagosodedig (ni ellir defnyddio SHA-1 ar gyfer tystysgrifau a llofnodion digidol yn ystod y broses negodi cysylltiad).
Ffynhonnell: opennet.ru