Investigadores do Instituto Estatal Francés de Investigación en Informática e Automatización (INRIA) e da Universidade Tecnolóxica de Nanyang (Singapur) presentaron un método de ataque (), que se presenta como a primeira implementación práctica dun ataque ao algoritmo SHA-1 que se pode usar para crear sinaturas dixitais PGP e GnuPG falsas. Os investigadores cren que todos os ataques prácticos contra MD5 agora poden aplicarse a SHA-1, aínda que aínda requiren recursos importantes para implementar.
O método baséase na realización , que lle permite seleccionar adicións para dous conxuntos de datos arbitrarios, cando se anexa, a saída producirá conxuntos que provocan unha colisión, cuxa aplicación do algoritmo SHA-1 levará á formación do mesmo hash resultante. Noutras palabras, para dous documentos existentes pódense calcular dous complementos, e se un se anexa ao primeiro documento e outro ao segundo, os hash SHA-1 resultantes para estes ficheiros serán os mesmos.
O novo método difire de técnicas similares propostas anteriormente ao aumentar a eficiencia da busca de colisións e demostrando unha aplicación práctica para atacar PGP. En particular, os investigadores puideron preparar dúas claves públicas PGP de diferentes tamaños (RSA-8192 e RSA-6144) con diferentes ID de usuario e con certificados que provocan unha colisión SHA-1. incluía a identificación da vítima e incluía o nome e a imaxe do atacante. Ademais, grazas á selección de colisións, o certificado de identificación da clave, incluída a clave e a imaxe do atacante, tiña o mesmo hash SHA-1 que o certificado de identificación, incluíndo a chave e o nome da vítima.
O atacante podería solicitar unha sinatura dixital para a súa clave e imaxe dunha autoridade de certificación de terceiros e, a continuación, transferir a sinatura dixital da chave da vítima. A sinatura dixital segue sendo correcta debido á colisión e verificación da clave do atacante por parte dunha autoridade de certificación, o que lle permite ao atacante obter o control da chave co nome da vítima (xa que o hash SHA-1 para ambas as claves é o mesmo). Como resultado, o atacante pode suplantar a vítima e asinar calquera documento no seu nome.
O ataque aínda é bastante custoso, pero xa bastante asequible para os servizos de intelixencia e as grandes corporacións. Para unha selección de colisión sinxela usando unha GPU NVIDIA GTX 970 máis barata, os custos foron de 11 mil dólares, e para unha selección de colisión cun prefixo dado - 45 mil dólares (para comparación, en 2012 estimáronse os custos para a selección de colisións en SHA-1). en 2 millóns de dólares, e en 2015 - 700 mil). Para levar a cabo un ataque práctico a PGP, necesitou dous meses de computación utilizando 900 GPU NVIDIA GTX 1060, cuxo aluguer custou aos investigadores 75 dólares.
O método de detección de colisións proposto polos investigadores é aproximadamente 10 veces máis efectivo que os logros anteriores: o nivel de complexidade dos cálculos de colisión reduciuse a 261.2 operacións, en lugar de 264.7, e as colisións cun prefixo dado a 263.4 operacións en lugar de 267.1. Os investigadores recomendan cambiar de SHA-1 ao uso de SHA-256 ou SHA-3 canto antes, xa que prevén que o custo dun ataque descenderá a 2025 dólares en 10.
Os desenvolvedores de GnuPG foron notificados do problema o 1 de outubro (CVE-2019-14855) e tomaron medidas para bloquear os certificados problemáticos o 25 de novembro na versión de GnuPG 2.2.18, todas as sinaturas de identidade dixital SHA-1 creadas despois do 19 de xaneiro de o ano pasado agora son recoñecidos como incorrectos. CAcert, unha das principais autoridades de certificación de claves PGP, planea cambiar a usar funcións hash máis seguras para a certificación de claves. Os desenvolvedores de OpenSSL, en resposta á información sobre un novo método de ataque, decidiron desactivar SHA-1 no primeiro nivel de seguridade predeterminado (SHA-1 non se pode usar para certificados e sinaturas dixitais durante o proceso de negociación da conexión).
Fonte: opennet.ru