Ranskan valtion tietotekniikan ja automaation tutkimuslaitoksen (INRIA) ja Nanyangin teknillisen yliopiston (Singapore) tutkijat esittelivät hyökkäysmenetelmän (), jota mainostetaan ensimmäisenä käytännön toteutuksena SHA-1-algoritmia vastaan, jota voidaan käyttää väärien PGP- ja GnuPG-digitaalisten allekirjoitusten luomiseen. Tutkijat uskovat, että kaikkia käytännön hyökkäyksiä MD5:tä vastaan voidaan nyt soveltaa SHA-1:een, vaikka niiden toteuttaminen vaatii edelleen merkittäviä resursseja.
Menetelmä perustuu suorittamiseen , jonka avulla voit valita lisäyksiä kahdelle mielivaltaiselle tietojoukolle. Liitettäessä tulos tuottaa joukot, jotka aiheuttavat törmäyksen, joiden SHA-1-algoritmin soveltaminen johtaa saman tuloksena olevan hajautusarvon muodostumiseen. Toisin sanoen kahdelle olemassa olevalle dokumentille voidaan laskea kaksi täydennystä, ja jos toinen liitetään ensimmäiseen dokumenttiin ja toinen toiseen, tuloksena olevat SHA-1-tiivisteet näille tiedostoille ovat samat.
Uusi menetelmä eroaa aiemmin ehdotetuista vastaavista tekniikoista lisäämällä törmäyshaun tehokkuutta ja osoittamalla käytännön sovellutuksia PGP-hyökkäykseen. Erityisesti tutkijat pystyivät valmistamaan kaksi erikokoista julkista PGP-avainta (RSA-8192 ja RSA-6144) eri käyttäjätunnuksilla ja varmenteilla, jotka aiheuttavat SHA-1-törmäyksen. mukana uhrin henkilöllisyystodistus ja sisälsi hyökkääjän nimen ja kuvan. Lisäksi törmäysvalinnan ansiosta avaimen tunnistusvarmenteella, mukaan lukien avain ja hyökkääjän kuva, oli sama SHA-1-tiiviste kuin tunnistusvarmenteella, mukaan lukien uhrin avain ja nimi.
Hyökkääjä voisi pyytää digitaalista allekirjoitusta avaimelleen ja kuvalleen kolmannen osapuolen varmenneviranomaiselta ja siirtää sitten uhrin avaimen digitaalisen allekirjoituksen. Digitaalinen allekirjoitus pysyy oikeana hyökkääjän avaimen törmäyksen ja varmentajan suorittaman vahvistuksen vuoksi, jolloin hyökkääjä voi saada hallintaansa uhrin nimen sisältävän avaimen (koska molempien avainten SHA-1-tiiviste on sama). Tämän seurauksena hyökkääjä voi esiintyä uhrina ja allekirjoittaa minkä tahansa asiakirjan hänen puolestaan.
Hyökkäys on edelleen varsin kallis, mutta jo varsin edullinen tiedustelupalveluille ja suuryrityksille. Yksinkertaisesta törmäysvalinnasta halvemmalla NVIDIA GTX 970 GPU:lla kustannukset olivat 11 tuhatta dollaria ja tietyllä etuliitteellä tehdystä törmäysvalinnasta - 45 tuhatta dollaria (vertailun vuoksi, vuonna 2012 SHA-1:n törmäysvalinnan kustannukset arvioitiin 2 miljoonalla dollarilla ja vuonna 2015 - 700 tuhatta). Käytännön hyökkäys PGP:tä vastaan kesti kaksi kuukautta laskentaa 900 NVIDIA GTX 1060 -grafiikkasuorittimella, joiden vuokraus maksoi tutkijoille 75 XNUMX dollaria.
Tutkijoiden ehdottama törmäyksen havaitsemismenetelmä on noin 10 kertaa tehokkaampi kuin aikaisemmat saavutukset - törmäyslaskennan monimutkaisuustaso pienennettiin 261.2 operaatioon 264.7:n sijaan ja törmäykset tietyllä etuliitteellä 263.4 operaatioon 267.1:n sijaan. Tutkijat suosittelevat siirtymistä SHA-1:stä SHA-256:n tai SHA-3:n käyttöön mahdollisimman pian, koska he ennustavat hyökkäyksen kustannusten putoavan 2025 10 dollariin vuoteen XNUMX mennessä.
GnuPG-kehittäjille ilmoitettiin ongelmasta 1. lokakuuta (CVE-2019-14855), ja he ryhtyivät toimiin estääkseen ongelmalliset sertifikaatit 25. marraskuuta GnuPG 2.2.18 -julkaisussa - kaikki SHA-1 digitaaliset identiteetin allekirjoitukset, jotka luotiin tammikuun 19. päivän jälkeen. viime vuosi tunnustetaan nyt virheellisiksi. CAcert, yksi tärkeimmistä PGP-avaimien varmentajista, aikoo siirtyä käyttämään turvallisempia hash-toimintoja avainten sertifioinnissa. OpenSSL-kehittäjät päättivät uudesta hyökkäysmenetelmästä saatujen tietojen perusteella poistaa SHA-1:n käytöstä oletusarvoisella ensimmäisellä suojaustasolla (SHA-1:tä ei voi käyttää varmenteille ja digitaalisille allekirjoituksille yhteysneuvotteluprosessin aikana).
Lähde: opennet.ru