Thug luchd-rannsachaidh bho Institiud Stàite na Frainge airson Rannsachadh ann an Informatics agus Automation (INRIA) agus Oilthigh Teicneòlais Nanyang (Singapore) seachad dòigh ionnsaigh (). Tha an luchd-rannsachaidh den bheachd gum faodar a h-uile ionnsaigh phractaigeach air MD1 a chuir an sàs a-nis air SHA-5, ged a tha feum aca fhathast air goireasan cudromach airson a bhuileachadh.
Tha an dòigh-obrach stèidhichte air coileanadh , a leigeas leat cur-ris a thaghadh airson dà sheata dàta neo-riaghailteach, nuair a tha iad ceangailte, bheir an toradh a-mach seataichean a dh’ adhbhraicheas tubaist, le bhith a ’cur an sàs an algairim SHA-1 airson a bheir gu buil an aon hash a thig às. Ann am faclan eile, airson dà sgrìobhainn a tha ann mar-thà, faodar dà lìonadh a thomhas, agus ma tha aon ceangailte ris a’ chiad sgrìobhainn agus am fear eile ris an dàrna fear, bidh na hashes SHA-1 airson na faidhlichean sin mar an ceudna.
Tha an dòigh ùr eadar-dhealaichte bho dhòighean coltach ris a chaidh a mholadh roimhe le bhith ag àrdachadh èifeachdas sgrùdadh tubaistean agus a’ nochdadh cleachdadh practaigeach airson ionnsaigh a thoirt air PGP. Gu sònraichte, b 'urrainn don luchd-rannsachaidh dà iuchair phoblach PGP de dhiofar mheudan ullachadh (RSA-8192 agus RSA-6144) le IDan cleachdaiche eadar-dhealaichte agus le teisteanasan a dh' adhbhraicheas tubaist SHA-1. toirt a-steach ID an neach-fulaing, agus toirt a-steach ainm agus ìomhaigh an neach-ionnsaigh. A bharrachd air an sin, le taing do thaghadh bualadh, bha an aon hash SHA-1 aig an teisteanas aithneachaidh iuchrach, a’ toirt a-steach an iuchair agus ìomhaigh an neach-ionnsaigh, ris an teisteanas aithneachaidh, a’ toirt a-steach iuchair agus ainm an neach-fulaing.
Dh’ fhaodadh an neach-ionnsaigh ainm-sgrìobhte didseatach iarraidh airson an iuchair agus an ìomhaigh aige bho ùghdarras teisteanachaidh treas-phàrtaidh, agus an uairsin an ainm-sgrìobhte didseatach airson iuchair an neach-fulaing a ghluasad. Tha an ainm-sgrìobhte didseatach fhathast ceart mar thoradh air an tubaist agus dearbhadh iuchair an neach-ionnsaigh le ùghdarras teisteanais, a leigeas leis an neach-ionnsaigh smachd fhaighinn air an iuchair le ainm an neach-fulaing (leis gu bheil an hash SHA-1 airson an dà iuchair mar an ceudna). Mar thoradh air an sin, faodaidh an neach-ionnsaigh atharrais a dhèanamh air an neach-fulang agus ainm a chuir ri sgrìobhainn sam bith às a leth.
Tha an ionnsaigh fhathast gu math cosgail, ach mar-thà gu math ruigsinneach airson seirbheisean fiosrachaidh agus corporaidean mòra. Airson taghadh sìmplidh de thubaist a 'cleachdadh NVIDIA GTX 970 GPU nas saoire, b' e na cosgaisean 11 mìle dollar, agus airson taghadh bualadh le ro-leasachan sònraichte - 45 mìle dollar (airson coimeas a dhèanamh, ann an 2012 chaidh tuairmse a dhèanamh air na cosgaisean airson taghadh bualadh ann an SHA-1). aig 2 millean dolar, agus ann an 2015 - 700 mìle). Gus ionnsaigh phractaigeach a dhèanamh air PGP, thug e dà mhìos de choimpiutaireachd a’ cleachdadh 900 NVIDIA GTX 1060 GPUs, agus chosg am màl sin $75 don luchd-rannsachaidh.
Tha an dòigh lorg tubaist a mhol an luchd-rannsachaidh timcheall air 10 tursan nas èifeachdaiche na coileanaidhean roimhe - chaidh an ìre iom-fhillteachd àireamhachadh tubaistean a lughdachadh gu gnìomhachd 261.2, an àite 264.7, agus tubaistean le ro-leasachan sònraichte gu gnìomhachd 263.4 an àite 267.1. Tha an luchd-rannsachaidh a’ moladh atharrachadh bho SHA-1 gu bhith a’ cleachdadh SHA-256 no SHA-3 cho luath ‘s a ghabhas, oir tha iad a’ dèanamh a-mach gun tuit cosgais ionnsaigh gu $2025 ro 10.
Chaidh fios a chuir gu luchd-leasachaidh GnuPG mun duilgheadas air 1 Dàmhair (CVE-2019-14855) agus rinn iad gnìomh gus na teisteanasan trioblaideach a bhacadh air 25 Samhain ann an sgaoileadh GnuPG 2.2.18 - a h-uile ainm-sgrìobhte dearbh-aithne didseatach SHA-1 a chaidh a chruthachadh às deidh Faoilleach 19 de an-uiridh air an aithneachadh mar mhearachdan. Tha CAcert, aon de na prìomh ùghdarrasan teisteanais airson iuchraichean PGP, an dùil atharrachadh gu bhith a’ cleachdadh gnìomhan hash nas tèarainte airson prìomh theisteanas. Cho-dhùin luchd-leasachaidh OpenSSL, mar fhreagairt do fhiosrachadh mu dhòigh ionnsaigh ùr, SHA-1 a chuir dheth aig a’ chiad ìre tèarainteachd àbhaisteach (chan urrainnear SHA-1 a chleachdadh airson teisteanasan agus ainmean didseatach tron phròiseas co-rèiteachaidh ceangail).
Source: fosgailtenet.ru