Undersikers fan it Frânske Nasjonaal Ynstitút foar Undersyk yn Ynformatika en Automatisearring (INRIA) en Nanyang Technological University (Singapore) ferbettere nei it SHA-1-algoritme, dat it meitsjen fan twa ferskillende dokuminten mei deselde SHA-1-hashes sterk simplifies. De essinsje fan de metoade is te ferminderjen de wurking fan in folsleine botsing seleksje yn SHA-1 oan , wêrby't in botsing foarkomt as bepaalde foarheaksels oanwêzich binne, nettsjinsteande de rest fan 'e gegevens yn 'e set. Mei oare wurden, jo kinne twa foarôf definieare foarheaksels berekkenje en as jo ien taheakje oan ien dokumint en de oare oan in twadde, sille de resultearjende SHA-1-hashes foar dizze bestannen itselde wêze.
Dit soarte fan oanfal fereasket noch enoarme berekkeningen en de seleksje fan foarheaksels bliuwt komplisearre as de gewoane seleksje fan botsingen, mar de praktyske effisjinsje fan it resultaat is signifikant heger. Wylst oant no ta de rapste metoade foar it finen fan botsingsfoarheaksels yn SHA-1 277.1 operaasjes fereaske, ferleget de nije metoade it oantal berekkeningen nei in berik fan 266.9 nei 269.4. Mei dit nivo fan komputer binne de rûsde kosten fan in oanfal minder dan hûndert tûzen dollar, wat goed binnen de middels fan yntelliginsje-ynstânsjes en grutte bedriuwen is. Foar fergeliking fereasket it sykjen nei in reguliere botsing sawat 264.7 operaasjes.
В De mooglikheid fan Google om ferskate PDF-bestannen te generearjen mei deselde SHA-1-hash in trúk wêrby't it gearfoegjen fan twa dokuminten yn ien bestân, it wikseljen fan de sichtbere laach en it ferskowen fan de laach seleksje mark nei it gebiet dêr't de botsing plakfynt. Mei ferlykbere boarnekosten (Google brocht in jier fan berekkenjen op in kluster fan 1 GPU's om de earste SHA-110-botsing te finen), lit de nije metoade jo in SHA-1-oerienkomst berikke foar twa willekeurige datasets. Oan 'e praktyske kant kinne jo TLS-sertifikaten tariede dy't ferskate domeinen neame, mar deselde SHA-1-hashes hawwe. Dizze funksje lit in gewetenloze sertifikaasjeautoriteit in sertifikaat meitsje foar in digitale hantekening, dy't kin wurde brûkt om fiktive sertifikaten te autorisearjen foar willekeurige domeinen. It probleem kin ek brûkt wurde om protokollen te kompromittearjen dy't fertrouwe op it foarkommen fan botsing, lykas TLS, SSH, en IPsec.
De foarstelde strategy foar it sykjen fan foarheaksels foar botsingen omfettet it ferdielen fan de berekkeningen yn twa stadia. De earste etappe siket nei blokken dy't op 'e râne fan in botsing binne troch willekeurige kettingfariabelen yn te setten yn in foarôf definieare doelferskilset. Op it twadde poadium, op it nivo fan yndividuele blokken, wurde de resultearjende keatlingen fan ferskillen fergelike mei pearen fan steaten dy't liede ta botsingen, mei metoaden fan tradisjonele botsingseleksje oanfallen.
Nettsjinsteande it feit dat de teoretyske mooglikheid fan in oanfal op SHA-1 waard bewiisd werom yn 2005, en yn 'e praktyk wie de earste botsing yn 2017 is SHA-1 noch yn gebrûk en wurdt dekt troch guon noarmen en technologyen (TLS 1.2, Git, ensfh.). It haaddoel fan it dien wurk wie om in oar twingend argumint te jaan foar it direkte stopjen fan it gebrûk fan SHA-1, benammen yn sertifikaten en digitale hantekeningen.
Derneist kin it opmurken wurde cryptanalyse fan blok sifers , ûntwikkele troch de US NSA en goedkard as standert yn 2018 .
De ûndersikers koene in metoade ûntwikkelje foar it weromheljen fan in privee kaai basearre op twa bekende pearen fan platte tekst en sifertekst. Mei beheinde kompjûterboarnen duorret it selektearjen fan in kaai fan ferskate oeren oant ferskate dagen. De teoretyske súkses taryf fan 'e oanfal wurdt rûsd op 0.25, en de praktyske ien foar it besteande prototype is 0.025.
Boarne: opennet.ru