Des chercheurs de l'Institut national de recherche en informatique et en automatique (INRIA) et de l'Université technologique de Nanyang (Singapour) ont présenté une méthode d'attaque (), qui est présentée comme la première mise en œuvre pratique d'une attaque contre l'algorithme SHA-1 pouvant être utilisée pour créer de fausses signatures numériques PGP et GnuPG. Les chercheurs estiment que toutes les attaques pratiques contre MD5 peuvent désormais être appliquées à SHA-1, même si leur mise en œuvre nécessite encore des ressources importantes.
La méthode est basée sur la réalisation , qui vous permet de sélectionner des ajouts pour deux ensembles de données arbitraires, une fois attachés, la sortie produira des ensembles qui provoquent une collision, dont l'application de l'algorithme SHA-1 conduira à la formation du même hachage résultant. En d’autres termes, pour deux documents existants, deux compléments peuvent être calculés, et si l’un est ajouté au premier document et l’autre au second, les hachages SHA-1 résultants pour ces fichiers seront les mêmes.
La nouvelle méthode diffère des techniques similaires proposées précédemment en augmentant l'efficacité de la recherche de collision et en démontrant une application pratique pour attaquer PGP. Les chercheurs ont notamment pu préparer deux clés publiques PGP de tailles différentes (RSA-8192 et RSA-6144) avec des identifiants utilisateur différents et avec des certificats provoquant une collision SHA-1. inclus l'identité de la victime, et comprenait le nom et l’image de l’agresseur. De plus, grâce à la sélection de collision, le certificat d’identification de clé, comprenant la clé et l’image de l’attaquant, avait le même hachage SHA-1 que le certificat d’identification, comprenant la clé et le nom de la victime.
L'attaquant pourrait demander une signature numérique pour sa clé et son image à une autorité de certification tierce, puis transférer la signature numérique pour la clé de la victime. La signature numérique reste correcte grâce à la collision et à la vérification de la clé de l'attaquant par une autorité de certification, ce qui permet à l'attaquant de prendre le contrôle de la clé portant le nom de la victime (puisque le hachage SHA-1 pour les deux clés est le même). En conséquence, l’attaquant peut se faire passer pour la victime et signer n’importe quel document en son nom.
L’attaque reste assez coûteuse, mais déjà tout à fait abordable pour les services de renseignement et les grandes entreprises. Pour une simple sélection de collision utilisant un GPU NVIDIA GTX 970 moins cher, les coûts étaient de 11 45 dollars, et pour une sélection de collision avec un préfixe donné - 2012 1 dollars (à titre de comparaison, en 2, les coûts de sélection de collision dans SHA-2015 ont été estimés à 700 millions de dollars, et en 900 - 1060 mille). Pour mener une attaque pratique contre PGP, il a fallu deux mois de calcul avec 75 GPU NVIDIA GTX XNUMX, dont la location a coûté XNUMX XNUMX $ aux chercheurs.
La méthode de détection des collisions proposée par les chercheurs est environ 10 fois plus efficace que les réalisations précédentes - le niveau de complexité des calculs de collision a été réduit à 261.2 opérations au lieu de 264.7, et les collisions avec un préfixe donné à 263.4 opérations au lieu de 267.1. Les chercheurs recommandent de passer de SHA-1 à SHA-256 ou SHA-3 dès que possible, car ils prédisent que le coût d’une attaque chutera à 2025 10 $ d’ici XNUMX.
Les développeurs de GnuPG ont été informés du problème le 1er octobre (CVE-2019-14855) et ont pris des mesures pour bloquer les certificats problématiques le 25 novembre dans la version de GnuPG 2.2.18 - toutes les signatures d'identité numérique SHA-1 créées après le 19 janvier 1. l'année dernière sont désormais reconnus comme incorrects. CAcert, l'une des principales autorités de certification des clés PGP, prévoit d'utiliser des fonctions de hachage plus sécurisées pour la certification des clés. Les développeurs d'OpenSSL, en réponse aux informations sur une nouvelle méthode d'attaque, ont décidé de désactiver SHA-1 au premier niveau de sécurité par défaut (SHA-XNUMX ne peut pas être utilisé pour les certificats et les signatures numériques pendant le processus de négociation de connexion).
Source: opennet.ru