Forskere fra det franske statsinstitut for forskning i informatik og automatisering (INRIA) og Nanyang Technological University (Singapore) præsenterede en angrebsmetode
Metoden er baseret på at udføre
Den nye metode adskiller sig fra tidligere foreslåede lignende teknikker ved at øge effektiviteten af kollisionssøgning og demonstrere praktisk anvendelse til at angribe PGP. Især var forskerne i stand til at forberede to offentlige PGP-nøgler af forskellig størrelse (RSA-8192 og RSA-6144) med forskellige bruger-id'er og med certifikater, der forårsager en SHA-1-kollision.
Angriberen kunne anmode om en digital signatur til sin nøgle og billede fra en tredjeparts certificeringsmyndighed og derefter overføre den digitale signatur til offerets nøgle. Den digitale signatur forbliver korrekt på grund af kollisionen og verifikationen af angriberens nøgle af en certificeringsmyndighed, som gør det muligt for angriberen at få kontrol over nøglen med offerets navn (da SHA-1-hashen for begge nøgler er den samme). Som et resultat kan angriberen udgive sig for at være offeret og underskrive ethvert dokument på hendes vegne.
Angrebet er stadig ret dyrt, men allerede ret overkommeligt for efterretningstjenester og store virksomheder. For et simpelt kollisionsvalg ved hjælp af en billigere NVIDIA GTX 970 GPU var omkostningerne 11 tusind dollars, og for et kollisionsvalg med et givet præfiks - 45 tusind dollars (til sammenligning blev omkostningerne til kollisionsvalg i SHA-2012 i 1 estimeret på 2 millioner dollars og i 2015 - 700 tusind). For at udføre et praktisk angreb på PGP krævede det to måneders databehandling ved hjælp af 900 NVIDIA GTX 1060 GPU'er, hvis leje kostede forskerne $75.
Kollisionsdetektionsmetoden foreslået af forskerne er cirka 10 gange mere effektiv end tidligere resultater - kompleksitetsniveauet for kollisionsberegninger blev reduceret til 261.2 operationer i stedet for 264.7, og kollisioner med et givet præfiks til 263.4 operationer i stedet for 267.1. Forskerne anbefaler at skifte fra SHA-1 til at bruge SHA-256 eller SHA-3 så hurtigt som muligt, da de forudser, at omkostningerne ved et angreb vil falde til $2025 i 10.
GnuPG-udviklerne blev underrettet om problemet den 1. oktober (CVE-2019-14855) og tog skridt til at blokere de problematiske certifikater den 25. november i udgivelsen af GnuPG 2.2.18 - alle SHA-1 digitale identitetssignaturer oprettet efter den 19. januar af sidste år er nu anerkendt som forkerte. CAcert, en af de vigtigste certificeringsmyndigheder for PGP-nøgler, planlægger at skifte til at bruge mere sikre hash-funktioner til nøglecertificering. OpenSSL-udviklerne besluttede, som svar på information om en ny angrebsmetode, at deaktivere SHA-1 på det første sikkerhedsniveau som standard (SHA-1 kan ikke bruges til certifikater og digitale signaturer under forbindelsesforhandlingsprocessen).
Kilde: opennet.ru