Forscher des französischen Staatsinstituts für Informatik- und Automatisierungsforschung (INRIA) und der Nanyang Technological University (Singapur) stellten eine Angriffsmethode vor (), der als erste praktische Umsetzung eines Angriffs auf den SHA-1-Algorithmus angepriesen wird, der zur Erstellung gefälschter digitaler PGP- und GnuPG-Signaturen verwendet werden kann. Die Forscher glauben, dass alle praktischen Angriffe auf MD5 jetzt auf SHA-1 angewendet werden können, obwohl für die Umsetzung immer noch erhebliche Ressourcen erforderlich sind.
Die Methode basiert auf der Durchführung , mit dem Sie Additionen für zwei beliebige Datensätze auswählen können. Beim Anhängen erzeugt die Ausgabe Sätze, die eine Kollision verursachen, deren Anwendung des SHA-1-Algorithmus zur Bildung desselben resultierenden Hashs führt. Mit anderen Worten: Für zwei vorhandene Dokumente können zwei Komplemente berechnet werden, und wenn eines an das erste Dokument und das andere an das zweite angehängt wird, sind die resultierenden SHA-1-Hashes für diese Dateien dieselben.
Die neue Methode unterscheidet sich von zuvor vorgeschlagenen ähnlichen Techniken dadurch, dass sie die Effizienz der Kollisionssuche erhöht und eine praktische Anwendung für den Angriff auf PGP demonstriert. Insbesondere konnten die Forscher zwei öffentliche PGP-Schlüssel unterschiedlicher Größe (RSA-8192 und RSA-6144) mit unterschiedlichen Benutzer-IDs und mit Zertifikaten vorbereiten, die eine SHA-1-Kollision verursachen. einschließlich der Opfer-ID und enthielt den Namen und das Bild des Angreifers. Darüber hinaus hatte das Schlüsselidentifizierungszertifikat, einschließlich des Schlüssels und des Bildes des Angreifers, dank der Kollisionsauswahl denselben SHA-1-Hash wie das Identifikationszertifikat, einschließlich des Schlüssels und des Namens des Opfers.
Der Angreifer könnte eine digitale Signatur für seinen Schlüssel und sein Bild von einer Zertifizierungsstelle eines Drittanbieters anfordern und dann die digitale Signatur für den Schlüssel des Opfers übertragen. Aufgrund der Kollision und Überprüfung des Schlüssels des Angreifers durch eine Zertifizierungsstelle bleibt die digitale Signatur korrekt, wodurch der Angreifer die Kontrolle über den Schlüssel mit dem Namen des Opfers erlangen kann (da der SHA-1-Hash für beide Schlüssel derselbe ist). Dadurch kann sich der Angreifer als Opfer ausgeben und in ihrem Namen ein beliebiges Dokument unterzeichnen.
Noch ist der Angriff recht kostspielig, für Geheimdienste und Großkonzerne aber schon jetzt durchaus erschwinglich. Für eine einfache Kollisionsauswahl mit einer günstigeren NVIDIA GTX 970-GPU betrugen die Kosten 11 Dollar und für eine Kollisionsauswahl mit einem bestimmten Präfix 45 Dollar (zum Vergleich: Im Jahr 2012 wurden die Kosten für die Kollisionsauswahl in SHA-1 geschätzt). bei 2 Millionen Dollar und im Jahr 2015 - 700). Um einen praktischen Angriff auf PGP durchzuführen, dauerte die Berechnung zwei Monate lang mit 900 NVIDIA GTX 1060-GPUs, deren Miete die Forscher 75 US-Dollar kostete.
Die von den Forschern vorgeschlagene Kollisionserkennungsmethode ist etwa zehnmal effektiver als frühere Errungenschaften – der Komplexitätsgrad der Kollisionsberechnungen wurde auf 10 Operationen statt 261.2 und Kollisionen mit einem bestimmten Präfix auf 264.7 Operationen statt 263.4 reduziert. Die Forscher empfehlen, so schnell wie möglich von SHA-267.1 auf die Verwendung von SHA-1 oder SHA-256 umzusteigen, da sie prognostizieren, dass die Kosten eines Angriffs bis 3 auf 2025 US-Dollar sinken werden.
Die GnuPG-Entwickler wurden am 1. Oktober über das Problem informiert (CVE-2019-14855) und ergriffen Maßnahmen, um die problematischen Zertifikate am 25. November in der Veröffentlichung von GnuPG 2.2.18 zu blockieren – alle digitalen SHA-1-Identitätssignaturen, die nach dem 19. Januar erstellt wurden letztes Jahr werden nun als falsch erkannt. CAcert, eine der wichtigsten Zertifizierungsstellen für PGP-Schlüssel, plant die Umstellung auf die Verwendung sichererer Hash-Funktionen für die Schlüsselzertifizierung. Als Reaktion auf Informationen über eine neue Angriffsmethode beschlossen die OpenSSL-Entwickler, SHA-1 auf der standardmäßigen ersten Sicherheitsstufe zu deaktivieren (SHA-1 kann während des Verbindungsaushandlungsprozesses nicht für Zertifikate und digitale Signaturen verwendet werden).
Source: opennet.ru