Des chercheurs de l'Institut national de recherche en informatique et en automatique (INRIA) et de l'Université technologique de Nanyang (Singapour) avancé à l'algorithme SHA-1, qui simplifie grandement la création de deux documents différents avec les mêmes hachages SHA-1. L'essence de la méthode est de réduire l'opération de sélection complète de collision dans SHA-1 à , dans lequel une collision se produit lorsque certains préfixes sont présents, quel que soit le reste des données de l'ensemble. En d’autres termes, vous pouvez calculer deux préfixes prédéfinis et si vous en attachez un à un document et l’autre à un second, les hachages SHA-1 résultants pour ces fichiers seront les mêmes.
Ce type d'attaque nécessite encore d'énormes calculs et la sélection des préfixes reste plus compliquée que la sélection habituelle des collisions, mais l'efficacité pratique du résultat est nettement supérieure. Alors que jusqu'à présent, la méthode la plus rapide pour trouver les préfixes de collision dans SHA-1 nécessitait 277.1 opérations, la nouvelle méthode réduit le nombre de calculs à une plage de 266.9 à 269.4. Avec ce niveau de calcul, le coût estimé d’une attaque est inférieur à cent mille dollars, ce qui est largement à la portée des agences de renseignement et des grandes entreprises. À titre de comparaison, la recherche d’une collision régulière nécessite environ 264.7 opérations.
В Capacité de Google à générer différents fichiers PDF avec le même hachage SHA-1 une astuce consistant à fusionner deux documents en un seul fichier, à changer de calque visible et à déplacer la marque de sélection du calque vers la zone où se produit la collision. Avec des coûts de ressources similaires (Google a passé un an de calcul sur un cluster de 1 GPU pour trouver la première collision SHA-110), la nouvelle méthode permet d'obtenir une correspondance SHA-1 pour deux ensembles de données arbitraires. Côté pratique, vous pouvez préparer des certificats TLS qui mentionnent des domaines différents, mais qui ont les mêmes hachages SHA-1. Cette fonctionnalité permet à une autorité de certification peu scrupuleuse de créer un certificat pour une signature numérique, qui peut être utilisé pour autoriser des certificats fictifs pour des domaines arbitraires. Ce problème peut également être utilisé pour compromettre les protocoles qui reposent sur l'évitement des collisions, tels que TLS, SSH et IPsec.
La stratégie proposée pour rechercher des préfixes de collision implique de diviser les calculs en deux étapes. La première étape recherche les blocs qui sont sur le point d’entrer en collision en intégrant des variables de chaîne aléatoires dans un ensemble de différences cibles prédéfini. Dans un deuxième temps, au niveau des blocs individuels, les chaînes de différences résultantes sont comparées à des paires d'états conduisant à des collisions, en utilisant des méthodes d'attaques traditionnelles de sélection de collision.
Malgré le fait que la possibilité théorique d'une attaque contre SHA-1 a été prouvée en 2005 et qu'en pratique, la première collision a été en 2017, SHA-1 est toujours utilisé et est couvert par certaines normes et technologies (TLS 1.2, Git, etc.). L'objectif principal du travail effectué était de fournir un autre argument convaincant en faveur de l'arrêt immédiat de l'utilisation de SHA-1, notamment dans les certificats et les signatures numériques.
De plus, on peut noter cryptanalyse des chiffrements par blocs , développé par la NSA américaine et approuvé comme norme en 2018 .
Les chercheurs ont pu développer une méthode de récupération d’une clé privée basée sur deux paires connues de texte en clair et de texte chiffré. Avec des ressources informatiques limitées, la sélection d'une clé prend de plusieurs heures à plusieurs jours. Le taux de réussite théorique de l'attaque est estimé à 0.25 et le taux pratique du prototype existant est de 0.025.
Source: opennet.ru