Prantsuse riikliku informaatika ja automatiseerimise uurimisinstituudi (INRIA) ja Nanyangi tehnikaülikooli (Singapur) teadlased tutvustasid ründemeetodit (), mida reklaamitakse kui SHA-1 algoritmi rünnaku esimest praktilist teostust, mida saab kasutada võltsitud PGP ja GnuPG digitaalallkirjade loomiseks. Teadlased usuvad, et kõiki praktilisi MD5 rünnakuid saab nüüd rakendada SHA-1-le, kuigi nende rakendamine nõuab endiselt märkimisväärseid ressursse.
Meetod põhineb läbiviimisel , mis võimaldab valida täiendusi kahele suvalisele andmehulgale, ühendamisel tekitab väljund kokkupõrke põhjustavaid komplekte, mille puhul SHA-1 algoritmi rakendamine viib sama tulemuseks oleva räsi moodustumiseni. Teisisõnu, kahe olemasoleva dokumendi jaoks saab arvutada kaks täiendust ja kui üks lisatakse esimesele dokumendile ja teine teisele, on nende failide SHA-1 räsid samad.
Uus meetod erineb varem välja pakutud sarnastest tehnikatest, suurendades kokkupõrkeotsingu efektiivsust ja demonstreerides praktilist rakendust PGP ründamiseks. Eelkõige suutsid teadlased valmistada kaks erineva suurusega PGP avalikku võtit (RSA-8192 ja RSA-6144), millel on erinevad kasutajatunnused ja sertifikaadid, mis põhjustavad SHA-1 kokkupõrget. sisaldas ohvri ID-d ja sisaldas ründaja nime ja pilti. Veelgi enam, tänu kokkupõrkevalikule oli võtme tuvastamise sertifikaadil, sealhulgas võtmel ja ründaja kujutisel, sama SHA-1 räsi, mis identifitseerimissertifikaadil, sealhulgas ohvri võti ja nimi.
Ründaja võib taotleda kolmanda osapoole sertifitseerimisasutuselt oma võtmele ja pildile digitaalallkirja ning seejärel edastada ohvri võtme digitaalallkirja. Digitaalallkiri jääb õigeks tänu ründaja võtme kokkupõrkele ja sertifitseerimisasutuse poolt kontrollimisele, mis võimaldab ründajal ohvri nimega võtme üle saada (kuna mõlema võtme SHA-1 räsi on sama). Selle tulemusena saab ründaja esineda ohvrina ja allkirjastada tema nimel mis tahes dokumendi.
Rünnak on endiselt üsna kulukas, kuid luureteenistustele ja suurkorporatsioonidele juba üsna taskukohane. Lihtsa kokkupõrkevaliku puhul, kasutades odavamat NVIDIA GTX 970 GPU-d, olid kulud 11 tuhat dollarit ja antud eesliitega kokkupõrkevaliku puhul 45 tuhat dollarit (võrdluseks, 2012. aastal hinnati kokkupõrkevaliku kulusid SHA-1-s 2 miljonit dollarit ja 2015. aastal 700 tuhat). PGP-le praktilise rünnaku läbiviimiseks kulus kaks kuud andmetöötlust, kasutades 900 NVIDIA GTX 1060 GPU-d, mille rentimine läks teadlastele maksma 75 XNUMX dollarit.
Teadlaste pakutud kokkupõrgete tuvastamise meetod on varasematest saavutustest ligikaudu 10 korda efektiivsem – kokkupõrkearvutuste keerukuse taset vähendati 261.2 asemel 264.7 operatsioonini ja etteantud eesliitega kokkupõrkeid 263.4 operatsiooni asemel 267.1 operatsioonini. Teadlased soovitavad esimesel võimalusel SHA-1-lt SHA-256 või SHA-3 kasutamisele üle minna, kuna ennustavad, et rünnaku maksumus langeb 2025. aastaks 10 XNUMX dollarini.
GnuPG arendajaid teavitati probleemist 1. oktoobril (CVE-2019-14855) ja nad võtsid 25. novembril meetmeid probleemsete sertifikaatide blokeerimiseks GnuPG 2.2.18 väljalaskes – kõik SHA-1 digitaalsed identiteediallkirjad, mis loodi pärast 19. jaanuari eelmisel aastal tunnistatakse nüüd ebaõigeks. CAcert, üks peamisi PGP-võtmete sertifitseerimisasutusi, kavatseb võtme sertifitseerimiseks üle minna turvalisemate räsifunktsioonide kasutamisele. OpenSSL-i arendajad otsustasid vastuseks teabele uue ründemeetodi kohta keelata SHA-1 vaikimisi esimesel turvatasemel (SHA-1 ei saa ühenduse läbirääkimisprotsessi ajal kasutada sertifikaatide ja digitaalallkirjade jaoks).
Allikas: opennet.ru