Ερευνητές από το Γαλλικό Κρατικό Ινστιτούτο Έρευνας στην Πληροφορική και τον Αυτοματισμό (INRIA) και το Τεχνολογικό Πανεπιστήμιο Nanyang (Σιγκαπούρη) παρουσίασαν μια μέθοδο επίθεσης (), το οποίο διαφημίζεται ως η πρώτη πρακτική εφαρμογή μιας επίθεσης στον αλγόριθμο SHA-1 που μπορεί να χρησιμοποιηθεί για τη δημιουργία ψευδών ψηφιακών υπογραφών PGP και GnuPG. Οι ερευνητές πιστεύουν ότι όλες οι πρακτικές επιθέσεις στο MD5 μπορούν πλέον να εφαρμοστούν στο SHA-1, αν και εξακολουθούν να απαιτούν σημαντικούς πόρους για την εφαρμογή τους.
Η μέθοδος βασίζεται στην πραγματοποίηση , που σας επιτρέπει να επιλέξετε προσθήκες για δύο αυθαίρετα σύνολα δεδομένων, όταν προσαρτηθούν, η έξοδος θα παράγει σύνολα που προκαλούν σύγκρουση, η εφαρμογή του αλγορίθμου SHA-1 για τα οποία θα οδηγήσει στο σχηματισμό του ίδιου κατακερματισμού που προκύπτει. Με άλλα λόγια, για δύο υπάρχοντα έγγραφα, μπορούν να υπολογιστούν δύο συμπληρώματα και εάν το ένα προσαρτηθεί στο πρώτο έγγραφο και το άλλο στο δεύτερο, οι κατακερματισμοί SHA-1 που προκύπτουν για αυτά τα αρχεία θα είναι οι ίδιοι.
Η νέα μέθοδος διαφέρει από τις προηγούμενες προτεινόμενες παρόμοιες τεχνικές αυξάνοντας την αποτελεσματικότητα της αναζήτησης σύγκρουσης και επιδεικνύοντας πρακτική εφαρμογή για επίθεση στο PGP. Συγκεκριμένα, οι ερευνητές μπόρεσαν να προετοιμάσουν δύο δημόσια κλειδιά PGP διαφορετικών μεγεθών (RSA-8192 και RSA-6144) με διαφορετικά αναγνωριστικά χρήστη και με πιστοποιητικά που προκαλούν σύγκρουση SHA-1. περιελάμβανε την ταυτότητα του θύματος και περιελάμβανε το όνομα και την εικόνα του δράστη. Επιπλέον, χάρη στην επιλογή σύγκρουσης, το πιστοποιητικό αναγνώρισης κλειδιού, συμπεριλαμβανομένου του κλειδιού και της εικόνας του εισβολέα, είχε τον ίδιο κατακερματισμό SHA-1 με το πιστοποιητικό αναγνώρισης, συμπεριλαμβανομένου του κλειδιού και του ονόματος του θύματος.
Ο εισβολέας θα μπορούσε να ζητήσει ψηφιακή υπογραφή για το κλειδί και την εικόνα του από μια αρχή πιστοποίησης τρίτου μέρους και στη συνέχεια να μεταφέρει την ψηφιακή υπογραφή για το κλειδί του θύματος. Η ψηφιακή υπογραφή παραμένει σωστή λόγω της σύγκρουσης και της επαλήθευσης του κλειδιού του εισβολέα από μια αρχή πιστοποίησης, η οποία επιτρέπει στον εισβολέα να αποκτήσει τον έλεγχο του κλειδιού με το όνομα του θύματος (καθώς ο κατακερματισμός SHA-1 και για τα δύο κλειδιά είναι ο ίδιος). Ως αποτέλεσμα, ο εισβολέας μπορεί να υποδυθεί το θύμα και να υπογράψει οποιοδήποτε έγγραφο για λογαριασμό του.
Η επίθεση εξακολουθεί να είναι αρκετά δαπανηρή, αλλά ήδη αρκετά προσιτή για τις υπηρεσίες πληροφοριών και τις μεγάλες εταιρείες. Για μια απλή επιλογή σύγκρουσης χρησιμοποιώντας μια φθηνότερη GPU NVIDIA GTX 970, το κόστος ήταν 11 χιλιάδες δολάρια και για μια επιλογή σύγκρουσης με δεδομένο πρόθεμα - 45 χιλιάδες δολάρια (για σύγκριση, το 2012, το κόστος για την επιλογή σύγκρουσης στο SHA-1 ήταν εκτιμάται σε 2 εκατομμύρια δολάρια και το 2015 - 700 χιλιάδες). Για να πραγματοποιηθεί μια πρακτική επίθεση στο PGP, χρειάστηκαν δύο μήνες υπολογισμού με χρήση 900 GPU NVIDIA GTX 1060, η ενοικίαση των οποίων κόστισε στους ερευνητές 75 δολάρια.
Η μέθοδος ανίχνευσης σύγκρουσης που προτείνεται από τους ερευνητές είναι περίπου 10 φορές πιο αποτελεσματική από τα προηγούμενα επιτεύγματα - το επίπεδο πολυπλοκότητας των υπολογισμών σύγκρουσης μειώθηκε σε 261.2 λειτουργίες, αντί για 264.7, και συγκρούσεις με δεδομένο πρόθεμα σε 263.4 λειτουργίες αντί για 267.1. Οι ερευνητές συνιστούν τη μετάβαση από το SHA-1 στη χρήση του SHA-256 ή του SHA-3 το συντομότερο δυνατό, καθώς προβλέπουν ότι το κόστος μιας επίθεσης θα μειωθεί στα 2025 $ έως το 10.
Οι προγραμματιστές GnuPG ειδοποιήθηκαν για το πρόβλημα την 1η Οκτωβρίου (CVE-2019-14855) και ανέλαβαν δράση για να μπλοκάρουν τα προβληματικά πιστοποιητικά στις 25 Νοεμβρίου στην κυκλοφορία του GnuPG 2.2.18 - όλες οι υπογραφές ψηφιακής ταυτότητας SHA-1 που δημιουργήθηκαν μετά τις 19 Ιανουαρίου του πέρυσι αναγνωρίζονται πλέον ως εσφαλμένες. Η CAcert, μια από τις κύριες αρχές πιστοποίησης για τα κλειδιά PGP, σχεδιάζει να στραφεί στη χρήση πιο ασφαλών συναρτήσεων κατακερματισμού για την πιστοποίηση κλειδιών. Οι προγραμματιστές του OpenSSL, ως απάντηση σε πληροφορίες σχετικά με μια νέα μέθοδο επίθεσης, αποφάσισαν να απενεργοποιήσουν το SHA-1 στο προεπιλεγμένο πρώτο επίπεδο ασφάλειας (το SHA-1 δεν μπορεί να χρησιμοποιηθεί για πιστοποιητικά και ψηφιακές υπογραφές κατά τη διαδικασία διαπραγμάτευσης σύνδεσης).
Πηγή: opennet.ru