Thug luchd-rannsachaidh bho Institiud Stàite na Frainge airson Rannsachadh ann an Informatics agus Automation (INRIA) agus Oilthigh Teicneòlais Nanyang (Singapore) seachad dòigh ionnsaigh
Tha an dòigh-obrach stèidhichte air coileanadh
Tha an dòigh ùr eadar-dhealaichte bho dhòighean coltach ris a chaidh a mholadh roimhe le bhith ag àrdachadh èifeachdas sgrùdadh tubaistean agus a’ nochdadh cleachdadh practaigeach airson ionnsaigh a thoirt air PGP. Gu sònraichte, b 'urrainn don luchd-rannsachaidh dà iuchair phoblach PGP de dhiofar mheudan ullachadh (RSA-8192 agus RSA-6144) le IDan cleachdaiche eadar-dhealaichte agus le teisteanasan a dh' adhbhraicheas tubaist SHA-1.
Dh’ fhaodadh an neach-ionnsaigh ainm-sgrìobhte didseatach iarraidh airson an iuchair agus an ìomhaigh aige bho ùghdarras teisteanachaidh treas-phàrtaidh, agus an uairsin an ainm-sgrìobhte didseatach airson iuchair an neach-fulaing a ghluasad. Tha an ainm-sgrìobhte didseatach fhathast ceart mar thoradh air an tubaist agus dearbhadh iuchair an neach-ionnsaigh le ùghdarras teisteanais, a leigeas leis an neach-ionnsaigh smachd fhaighinn air an iuchair le ainm an neach-fulaing (leis gu bheil an hash SHA-1 airson an dà iuchair mar an ceudna). Mar thoradh air an sin, faodaidh an neach-ionnsaigh atharrais a dhèanamh air an neach-fulang agus ainm a chuir ri sgrìobhainn sam bith às a leth.
Tha an ionnsaigh fhathast gu math cosgail, ach mar-thà gu math ruigsinneach airson seirbheisean fiosrachaidh agus corporaidean mòra. Airson taghadh sìmplidh de thubaist a 'cleachdadh NVIDIA GTX 970 GPU nas saoire, b' e na cosgaisean 11 mìle dollar, agus airson taghadh bualadh le ro-leasachan sònraichte - 45 mìle dollar (airson coimeas a dhèanamh, ann an 2012 chaidh tuairmse a dhèanamh air na cosgaisean airson taghadh bualadh ann an SHA-1). aig 2 millean dolar, agus ann an 2015 - 700 mìle). Gus ionnsaigh phractaigeach a dhèanamh air PGP, thug e dà mhìos de choimpiutaireachd a’ cleachdadh 900 NVIDIA GTX 1060 GPUs, agus chosg am màl sin $75 don luchd-rannsachaidh.
Tha an dòigh lorg tubaist a mhol an luchd-rannsachaidh timcheall air 10 tursan nas èifeachdaiche na coileanaidhean roimhe - chaidh an ìre iom-fhillteachd àireamhachadh tubaistean a lughdachadh gu gnìomhachd 261.2, an àite 264.7, agus tubaistean le ro-leasachan sònraichte gu gnìomhachd 263.4 an àite 267.1. Tha an luchd-rannsachaidh a’ moladh atharrachadh bho SHA-1 gu bhith a’ cleachdadh SHA-256 no SHA-3 cho luath ‘s a ghabhas, oir tha iad a’ dèanamh a-mach gun tuit cosgais ionnsaigh gu $2025 ro 10.
Chaidh fios a chuir gu luchd-leasachaidh GnuPG mun duilgheadas air 1 Dàmhair (CVE-2019-14855) agus rinn iad gnìomh gus na teisteanasan trioblaideach a bhacadh air 25 Samhain ann an sgaoileadh GnuPG 2.2.18 - a h-uile ainm-sgrìobhte dearbh-aithne didseatach SHA-1 a chaidh a chruthachadh às deidh Faoilleach 19 de an-uiridh air an aithneachadh mar mhearachdan. Tha CAcert, aon de na prìomh ùghdarrasan teisteanais airson iuchraichean PGP, an dùil atharrachadh gu bhith a’ cleachdadh gnìomhan hash nas tèarainte airson prìomh theisteanas. Cho-dhùin luchd-leasachaidh OpenSSL, mar fhreagairt do fhiosrachadh mu dhòigh ionnsaigh ùr, SHA-1 a chuir dheth aig a’ chiad ìre tèarainteachd àbhaisteach (chan urrainnear SHA-1 a chleachdadh airson teisteanasan agus ainmean didseatach tron phròiseas co-rèiteachaidh ceangail).
Source: fosgailtenet.ru