Forscher des französischen Staatsinstituts für Informatik- und Automatisierungsforschung (INRIA) und der Nanyang Technological University (Singapur) stellten eine Angriffsmethode vor
Die Methode basiert auf der Durchführung
Die neue Methode unterscheidet sich von zuvor vorgeschlagenen ähnlichen Techniken dadurch, dass sie die Effizienz der Kollisionssuche erhöht und eine praktische Anwendung für den Angriff auf PGP demonstriert. Insbesondere konnten die Forscher zwei öffentliche PGP-Schlüssel unterschiedlicher Größe (RSA-8192 und RSA-6144) mit unterschiedlichen Benutzer-IDs und mit Zertifikaten vorbereiten, die eine SHA-1-Kollision verursachen.
Der Angreifer könnte eine digitale Signatur für seinen Schlüssel und sein Bild von einer Zertifizierungsstelle eines Drittanbieters anfordern und dann die digitale Signatur für den Schlüssel des Opfers übertragen. Aufgrund der Kollision und Überprüfung des Schlüssels des Angreifers durch eine Zertifizierungsstelle bleibt die digitale Signatur korrekt, wodurch der Angreifer die Kontrolle über den Schlüssel mit dem Namen des Opfers erlangen kann (da der SHA-1-Hash für beide Schlüssel derselbe ist). Dadurch kann sich der Angreifer als Opfer ausgeben und in ihrem Namen ein beliebiges Dokument unterzeichnen.
Noch ist der Angriff recht kostspielig, für Geheimdienste und Großkonzerne aber schon jetzt durchaus erschwinglich. Für eine einfache Kollisionsauswahl mit einer günstigeren NVIDIA GTX 970-GPU betrugen die Kosten 11 Dollar und für eine Kollisionsauswahl mit einem bestimmten Präfix 45 Dollar (zum Vergleich: Im Jahr 2012 wurden die Kosten für die Kollisionsauswahl in SHA-1 geschätzt). bei 2 Millionen Dollar und im Jahr 2015 - 700). Um einen praktischen Angriff auf PGP durchzuführen, dauerte die Berechnung zwei Monate lang mit 900 NVIDIA GTX 1060-GPUs, deren Miete die Forscher 75 US-Dollar kostete.
Die von den Forschern vorgeschlagene Kollisionserkennungsmethode ist etwa zehnmal effektiver als frühere Errungenschaften – der Komplexitätsgrad der Kollisionsberechnungen wurde auf 10 Operationen statt 261.2 und Kollisionen mit einem bestimmten Präfix auf 264.7 Operationen statt 263.4 reduziert. Die Forscher empfehlen, so schnell wie möglich von SHA-267.1 auf die Verwendung von SHA-1 oder SHA-256 umzusteigen, da sie prognostizieren, dass die Kosten eines Angriffs bis 3 auf 2025 US-Dollar sinken werden.
Die GnuPG-Entwickler wurden am 1. Oktober über das Problem informiert (CVE-2019-14855) und ergriffen Maßnahmen, um die problematischen Zertifikate am 25. November in der Veröffentlichung von GnuPG 2.2.18 zu blockieren – alle digitalen SHA-1-Identitätssignaturen, die nach dem 19. Januar erstellt wurden letztes Jahr werden nun als falsch erkannt. CAcert, eine der wichtigsten Zertifizierungsstellen für PGP-Schlüssel, plant die Umstellung auf die Verwendung sichererer Hash-Funktionen für die Schlüsselzertifizierung. Als Reaktion auf Informationen über eine neue Angriffsmethode beschlossen die OpenSSL-Entwickler, SHA-1 auf der standardmäßigen ersten Sicherheitsstufe zu deaktivieren (SHA-1 kann während des Verbindungsaushandlungsprozesses nicht für Zertifikate und digitale Signaturen verwendet werden).
Source: opennet.ru