Ua hōʻike nā mea noiʻi mai ka French State Institute for Research in Informatics and Automation (INRIA) a me Nanyang Technological University (Singapore) i kahi ala hoʻouka. (), i kapa ʻia ʻo ia ka hoʻokō pono mua o ka hoʻouka ʻana i ka SHA-1 algorithm hiki ke hoʻohana ʻia e hana i nā pūlima kikohoʻe PGP a me GnuPG. Manaʻo ka poʻe noiʻi hiki ke hoʻohana ʻia nā hoʻouka kūpono āpau ma MD5 i SHA-1, ʻoiai ke koi nei lākou i nā kumuwaiwai nui e hoʻokō.
Hoʻokumu ʻia ke ʻano ma ka hoʻokō ʻana , hiki iā ʻoe ke koho i nā mea hoʻohui no nā pūʻulu ʻikepili ʻelua, i ka wā i hoʻopili ʻia, e hoʻopuka ka hopena i nā pūʻulu e hoʻokūkū ai, ʻo ka noi ʻana o ka SHA-1 algorithm e alakaʻi ai i ka hoʻokumu ʻana i ka hash hopena like. I nā huaʻōlelo ʻē aʻe, no nā palapala ʻelua, hiki ke helu ʻia nā hoʻopiha ʻelua, a inā e hoʻopili ʻia kekahi i ka palapala mua a ʻo kekahi i ka lua, e like ana nā hashes SHA-1 no kēia mau faila.
ʻOkoʻa ke ʻano hana hou mai nā ʻenehana like i manaʻo mua ʻia ma o ka hoʻonui ʻana i ka pono o ka huli ʻana a me ka hōʻike ʻana i ka noi kūpono no ka hoʻouka ʻana iā PGP. Ma keʻano kūikawā, ua hiki i nā mea noiʻi ke hoʻomākaukau i ʻelua mau kī lehulehu PGP o nā ʻano nui like ʻole (RSA-8192 a me RSA-6144) me nā ID mea hoʻohana like ʻole a me nā palapala hōʻoia e hoʻokūkū ai i ka SHA-1. ua komo pū me ka ID i pepehi ʻia, a ua komo ka inoa a me ke kiʻi o ka mea hoʻouka. Eia kekahi, mahalo i ke koho ʻana, ʻo ka palapala hōʻike kī, me ke kī a me ke kiʻi o ka mea hoʻouka, loaʻa iā SHA-1 hash like me ka palapala hōʻoia, me ke kī a me ka inoa o ka mea i pepehi ʻia.
Hiki i ka mea hoʻouka ke noi i kahi pūlima kikohoʻe no kāna kī a me kāna kiʻi mai kahi mana hōʻoia ʻaoʻao ʻekolu, a laila e hoʻololi i ka pūlima kikohoʻe no ke kī o ka mea i pepehi ʻia. Ke hoʻomau nei ka pūlima kikohoʻe ma muli o ka hui ʻana a me ka hōʻoia ʻana o ke kī o ka mea hoʻouka e kahi mana hōʻoia, e hiki ai i ka mea hoʻouka ke loaʻa ka mana o ke kī me ka inoa o ka mea i pepehi ʻia (no ka mea, ua like ka SHA-1 hash no nā kī ʻelua). ʻO ka hopena, hiki i ka mea hoʻouka ke hoʻohālike i ka mea i pepehi ʻia a kau inoa i kekahi palapala nona.
Ke kūʻai nui nei ka hoʻouka ʻana, akā hiki ke kūpono no nā lawelawe naʻauao a me nā hui nui. No kahi koho hoʻokūkū maʻalahi me ka hoʻohana ʻana i kahi NVIDIA GTX 970 GPU maʻalahi, ʻo nā kumukūʻai he 11 tausani kālā, a no kahi koho collision me kahi prefix i hāʻawi ʻia - 45 tausani kālā (no ka hoʻohālikelike ʻana, i ka makahiki 2012, ʻo nā kumukūʻai no ke koho collision ma SHA-1 ʻo ia. i manaoia ma 2 miliona dala, a ma 2015 - 700 tausani). No ka hoʻokō ʻana i kahi hoʻouka kaua ma PGP, ua lawe ʻia ʻelua mahina o ka helu ʻana me ka hoʻohana ʻana i 900 NVIDIA GTX 1060 GPUs, ʻo ka hoʻolimalima ʻana i uku ʻia e nā mea noiʻi $75.
ʻO ke ʻano o ka ʻike collision i manaʻo ʻia e nā mea noiʻi he 10 mau manawa ʻoi aku ka maikaʻi ma mua o nā hoʻokō mua - ua hoʻemi ʻia ka pae paʻakikī o nā helu collision i 261.2 hana, ma kahi o 264.7, a me nā hui ʻana me kahi prefix i hāʻawi ʻia i nā hana 263.4 ma kahi o 267.1. Manaʻo nā mea noiʻi e hoʻololi mai SHA-1 i ka hoʻohana ʻana iā SHA-256 a i ʻole SHA-3 i ka wā hiki loa, ʻoiai lākou e wānana e hāʻule ke kumukūʻai o kahi hoʻouka kaua i $2025 e 10.
Ua hoʻolaha ʻia nā mea hoʻomohala GnuPG i ka pilikia ma ʻOkakopa 1 (CVE-2019-14855) a ua hana lākou e pale i nā palapala hōʻoia pilikia ma Nowemapa 25 i ka hoʻokuʻu ʻia ʻana o GnuPG 2.2.18 - nā inoa inoa kikohoʻe SHA-1 āpau i hana ʻia ma hope o Ianuali 19 o. ʻike ʻia ka hewa i kēia makahiki i hala. ʻO CAcert, kekahi o nā mana hōʻoia nui no nā kī PGP, hoʻolālā e hoʻololi i ka hoʻohana ʻana i nā hana hash paʻa no ka hōʻoia kī. ʻO nā mea hoʻomohala OpenSSL, i ka pane ʻana i ka ʻike e pili ana i kahi ala hoʻouka hou, ua hoʻoholo e hoʻopau iā SHA-1 ma ka pae mua o ka palekana (ʻaʻole hiki ke hoʻohana ʻia ʻo SHA-1 no nā palapala hōʻoia a me nā pūlima kikohoʻe i ka wā o ke kaʻina kūkākūkā pili).
Source: opennet.ru