Forskere fra det franske statsinstitut for forskning i informatik og automatisering (INRIA) og Nanyang Technological University (Singapore) præsenterede en angrebsmetode (), som udråbes som den første praktiske implementering af et angreb på SHA-1-algoritmen, der kan bruges til at skabe falske PGP- og GnuPG-digitale signaturer. Forskerne mener, at alle praktiske angreb på MD5 nu kan anvendes på SHA-1, selvom de stadig kræver betydelige ressourcer at implementere.
Metoden er baseret på at udføre , som giver dig mulighed for at vælge tilføjelser til to vilkårlige datasæt, når den er vedhæftet, vil outputtet producere sæt, der forårsager en kollision, hvis anvendelse af SHA-1-algoritmen vil føre til dannelsen af den samme resulterende hash. Med andre ord, for to eksisterende dokumenter kan der beregnes to komplementer, og hvis det ene føjes til det første dokument og det andet til det andet, vil de resulterende SHA-1 hashes for disse filer være de samme.
Den nye metode adskiller sig fra tidligere foreslåede lignende teknikker ved at øge effektiviteten af kollisionssøgning og demonstrere praktisk anvendelse til at angribe PGP. Især var forskerne i stand til at forberede to offentlige PGP-nøgler af forskellig størrelse (RSA-8192 og RSA-6144) med forskellige bruger-id'er og med certifikater, der forårsager en SHA-1-kollision. inkluderet offer-id, og indeholdt navn og billede af angriberen. Takket være kollisionsvalg havde nøgleidentifikationscertifikatet, inklusive nøglen og angriberens billede, den samme SHA-1-hash som identifikationscertifikatet, inklusive offerets nøgle og navn.
Angriberen kunne anmode om en digital signatur til sin nøgle og billede fra en tredjeparts certificeringsmyndighed og derefter overføre den digitale signatur til offerets nøgle. Den digitale signatur forbliver korrekt på grund af kollisionen og verifikationen af angriberens nøgle af en certificeringsmyndighed, som gør det muligt for angriberen at få kontrol over nøglen med offerets navn (da SHA-1-hashen for begge nøgler er den samme). Som et resultat kan angriberen udgive sig for at være offeret og underskrive ethvert dokument på hendes vegne.
Angrebet er stadig ret dyrt, men allerede ret overkommeligt for efterretningstjenester og store virksomheder. For et simpelt kollisionsvalg ved hjælp af en billigere NVIDIA GTX 970 GPU var omkostningerne 11 tusind dollars, og for et kollisionsvalg med et givet præfiks - 45 tusind dollars (til sammenligning blev omkostningerne til kollisionsvalg i SHA-2012 i 1 estimeret på 2 millioner dollars og i 2015 - 700 tusind). For at udføre et praktisk angreb på PGP krævede det to måneders databehandling ved hjælp af 900 NVIDIA GTX 1060 GPU'er, hvis leje kostede forskerne $75.
Kollisionsdetektionsmetoden foreslået af forskerne er cirka 10 gange mere effektiv end tidligere resultater - kompleksitetsniveauet for kollisionsberegninger blev reduceret til 261.2 operationer i stedet for 264.7, og kollisioner med et givet præfiks til 263.4 operationer i stedet for 267.1. Forskerne anbefaler at skifte fra SHA-1 til at bruge SHA-256 eller SHA-3 så hurtigt som muligt, da de forudser, at omkostningerne ved et angreb vil falde til $2025 i 10.
GnuPG-udviklerne blev underrettet om problemet den 1. oktober (CVE-2019-14855) og tog skridt til at blokere de problematiske certifikater den 25. november i udgivelsen af GnuPG 2.2.18 - alle SHA-1 digitale identitetssignaturer oprettet efter den 19. januar af sidste år er nu anerkendt som forkerte. CAcert, en af de vigtigste certificeringsmyndigheder for PGP-nøgler, planlægger at skifte til at bruge mere sikre hash-funktioner til nøglecertificering. OpenSSL-udviklerne besluttede, som svar på information om en ny angrebsmetode, at deaktivere SHA-1 på det første sikkerhedsniveau som standard (SHA-1 kan ikke bruges til certifikater og digitale signaturer under forbindelsesforhandlingsprocessen).
Kilde: opennet.ru