Ranskan valtion tietotekniikan ja automaation tutkimuslaitoksen (INRIA) ja Nanyangin teknillisen yliopiston (Singapore) tutkijat esittelivät hyökkäysmenetelmän
Menetelmä perustuu suorittamiseen
Uusi menetelmä eroaa aiemmin ehdotetuista vastaavista tekniikoista lisäämällä törmäyshaun tehokkuutta ja osoittamalla käytännön sovellutuksia PGP-hyökkäykseen. Erityisesti tutkijat pystyivät valmistamaan kaksi erikokoista julkista PGP-avainta (RSA-8192 ja RSA-6144) eri käyttäjätunnuksilla ja varmenteilla, jotka aiheuttavat SHA-1-törmäyksen.
Hyökkääjä voisi pyytää digitaalista allekirjoitusta avaimelleen ja kuvalleen kolmannen osapuolen varmenneviranomaiselta ja siirtää sitten uhrin avaimen digitaalisen allekirjoituksen. Digitaalinen allekirjoitus pysyy oikeana hyökkääjän avaimen törmäyksen ja varmentajan suorittaman vahvistuksen vuoksi, jolloin hyökkääjä voi saada hallintaansa uhrin nimen sisältävän avaimen (koska molempien avainten SHA-1-tiiviste on sama). Tämän seurauksena hyökkääjä voi esiintyä uhrina ja allekirjoittaa minkä tahansa asiakirjan hänen puolestaan.
Hyökkäys on edelleen varsin kallis, mutta jo varsin edullinen tiedustelupalveluille ja suuryrityksille. Yksinkertaisesta törmäysvalinnasta halvemmalla NVIDIA GTX 970 GPU:lla kustannukset olivat 11 tuhatta dollaria ja tietyllä etuliitteellä tehdystä törmäysvalinnasta - 45 tuhatta dollaria (vertailun vuoksi, vuonna 2012 SHA-1:n törmäysvalinnan kustannukset arvioitiin 2 miljoonalla dollarilla ja vuonna 2015 - 700 tuhatta). Käytännön hyökkäys PGP:tä vastaan kesti kaksi kuukautta laskentaa 900 NVIDIA GTX 1060 -grafiikkasuorittimella, joiden vuokraus maksoi tutkijoille 75 XNUMX dollaria.
Tutkijoiden ehdottama törmäyksen havaitsemismenetelmä on noin 10 kertaa tehokkaampi kuin aikaisemmat saavutukset - törmäyslaskennan monimutkaisuustaso pienennettiin 261.2 operaatioon 264.7:n sijaan ja törmäykset tietyllä etuliitteellä 263.4 operaatioon 267.1:n sijaan. Tutkijat suosittelevat siirtymistä SHA-1:stä SHA-256:n tai SHA-3:n käyttöön mahdollisimman pian, koska he ennustavat hyökkäyksen kustannusten putoavan 2025 10 dollariin vuoteen XNUMX mennessä.
GnuPG-kehittäjille ilmoitettiin ongelmasta 1. lokakuuta (CVE-2019-14855), ja he ryhtyivät toimiin estääkseen ongelmalliset sertifikaatit 25. marraskuuta GnuPG 2.2.18 -julkaisussa - kaikki SHA-1 digitaaliset identiteetin allekirjoitukset, jotka luotiin tammikuun 19. päivän jälkeen. viime vuosi tunnustetaan nyt virheellisiksi. CAcert, yksi tärkeimmistä PGP-avaimien varmentajista, aikoo siirtyä käyttämään turvallisempia hash-toimintoja avainten sertifioinnissa. OpenSSL-kehittäjät päättivät uudesta hyökkäysmenetelmästä saatujen tietojen perusteella poistaa SHA-1:n käytöstä oletusarvoisella ensimmäisellä suojaustasolla (SHA-1:tä ei voi käyttää varmenteille ja digitaalisille allekirjoituksille yhteysneuvotteluprosessin aikana).
Lähde: opennet.ru