Cyflwynodd ymchwilwyr o Sefydliad Talaith Ffrainc ar gyfer Ymchwil mewn Gwybodeg ac Awtomeiddio (INRIA) a Phrifysgol Dechnolegol Nanyang (Singapore) ddull ymosod
Mae'r dull yn seiliedig ar gyflawni
Mae'r dull newydd yn wahanol i dechnegau tebyg a gynigiwyd yn flaenorol trwy gynyddu effeithlonrwydd chwilio gwrthdrawiadau a dangos cymhwysiad ymarferol ar gyfer ymosod ar PGP. Yn benodol, roedd yr ymchwilwyr yn gallu paratoi dwy allwedd gyhoeddus PGP o wahanol feintiau (RSA-8192 a RSA-6144) gyda gwahanol IDau defnyddwyr a gyda thystysgrifau sy'n achosi gwrthdrawiad SHA-1.
Gallai'r ymosodwr ofyn am lofnod digidol ar gyfer ei allwedd a'i ddelwedd gan awdurdod ardystio trydydd parti, ac yna trosglwyddo'r llofnod digidol ar gyfer allwedd y dioddefwr. Mae'r llofnod digidol yn parhau i fod yn gywir oherwydd gwrthdrawiad a dilysiad allwedd yr ymosodwr gan awdurdod ardystio, sy'n caniatΓ‘u i'r ymosodwr ennill rheolaeth ar yr allwedd gydag enw'r dioddefwr (gan fod yr hash SHA-1 ar gyfer y ddwy allwedd yr un peth). O ganlyniad, gall yr ymosodwr ddynwared y dioddefwr a llofnodi unrhyw ddogfen ar ei rhan.
Mae'r ymosodiad yn dal yn eithaf costus, ond eisoes yn eithaf fforddiadwy ar gyfer gwasanaethau cudd-wybodaeth a chorfforaethau mawr. Ar gyfer dewis gwrthdrawiad syml gan ddefnyddio GPU rhatach NVIDIA GTX 970, y costau oedd 11 mil o ddoleri, ac ar gyfer dewis gwrthdrawiad gyda rhagddodiad penodol - 45 mil o ddoleri (er mwyn cymharu, yn 2012 amcangyfrifwyd y costau ar gyfer dewis gwrthdrawiad yn SHA-1 ar 2 miliwn o ddoleri, ac yn 2015 - 700 mil). I gynnal ymosodiad ymarferol ar PGP, cymerodd ddau fis o gyfrifiadura gan ddefnyddio 900 NVIDIA GTX 1060 GPUs, a chostiodd eu rhentu $75 i'r ymchwilwyr.
Mae'r dull canfod gwrthdrawiadau a gynigiwyd gan yr ymchwilwyr tua 10 gwaith yn fwy effeithiol na chyflawniadau blaenorol - gostyngwyd lefel cymhlethdod y cyfrifiadau gwrthdrawiad i 261.2 llawdriniaeth, yn lle 264.7, a gwrthdrawiadau Γ’ rhagddodiad penodol i 263.4 llawdriniaeth yn lle 267.1. Mae'r ymchwilwyr yn argymell newid o SHA-1 i ddefnyddio SHA-256 neu SHA-3 cyn gynted Γ’ phosibl, gan eu bod yn rhagweld y bydd cost ymosodiad yn gostwng i $2025 erbyn 10.
Hysbyswyd datblygwyr GnuPG am y broblem ar Hydref 1 (CVE-2019-14855) a chymerwyd camau i rwystro'r tystysgrifau problemus ar Dachwedd 25 wrth ryddhau GnuPG 2.2.18 - pob llofnod hunaniaeth ddigidol SHA-1 a grΓ«wyd ar Γ΄l Ionawr 19 o y llynedd yn awr yn cael eu cydnabod fel anghywir. Mae CAcert, un o'r prif awdurdodau ardystio ar gyfer allweddi PGP, yn bwriadu newid i ddefnyddio swyddogaethau hash mwy diogel ar gyfer ardystiad allweddol. Penderfynodd datblygwyr OpenSSL, mewn ymateb i wybodaeth am ddull ymosod newydd, analluogi SHA-1 ar y lefel diogelwch cyntaf rhagosodedig (ni ellir defnyddio SHA-1 ar gyfer tystysgrifau a llofnodion digidol yn ystod y broses negodi cysylltiad).
Ffynhonnell: opennet.ru