A Francia Állami Informatikai és Automatizálási Kutatóintézet (INRIA) és a Nanyang Technological University (Szingapúr) kutatói egy támadási módszert mutattak be. (), amelyet az SHA-1 algoritmus elleni támadás első gyakorlati megvalósításaként hirdetnek, amely hamis PGP és GnuPG digitális aláírások létrehozására használható. A kutatók úgy vélik, hogy az MD5 elleni gyakorlati támadások ma már alkalmazhatók az SHA-1-re is, bár ezek megvalósítása továbbra is jelentős erőforrásokat igényel.
A módszer a végrehajtáson alapul , amely lehetővé teszi két tetszőleges adathalmaz kiegészítésének kiválasztását, csatoláskor a kimenet ütközést okozó halmazokat állít elő, amelyekre az SHA-1 algoritmus alkalmazása ugyanazon eredő hash kialakulásához vezet. Más szóval, két létező dokumentum esetében két komplementer számítható ki, és ha az egyiket az első, a másikat a másodikhoz fűzzük, akkor ezeknek a fájloknak az eredményül kapott SHA-1-kivonatai megegyeznek.
Az új módszer abban különbözik a korábban javasolt hasonló technikáktól, hogy növeli az ütközéskeresés hatékonyságát, és bemutatja a PGP megtámadásának gyakorlati alkalmazását. A kutatók különösen két különböző méretű nyilvános PGP-kulcsot tudtak elkészíteni (RSA-8192 és RSA-6144), különböző felhasználói azonosítókkal és SHA-1 ütközést okozó tanúsítványokkal. tartalmazza az áldozat azonosítóját, és tartalmazta a támadó nevét és képét. Sőt, az ütközési kiválasztásnak köszönhetően a kulcsazonosító tanúsítvány, beleértve a kulcsot és a támadó képét, ugyanazt az SHA-1 hash-t tartalmazza, mint az azonosító tanúsítvány, beleértve az áldozat kulcsát és nevét.
A támadó digitális aláírást kérhet kulcsához és képéhez egy harmadik fél hitelesítés-szolgáltatójától, majd átadhatja az áldozat kulcsának digitális aláírását. A digitális aláírás helyes marad a támadó kulcsának ütközése és hitelesítés-szolgáltató általi ellenőrzése miatt, amely lehetővé teszi a támadó számára, hogy az áldozat nevével átvegye az irányítást a kulcs felett (mivel az SHA-1 hash mindkét kulcshoz ugyanaz). Ennek eredményeként a támadó kiadhatja magát az áldozatnak, és bármilyen dokumentumot aláírhat a nevében.
A támadás még mindig meglehetősen költséges, de már meglehetősen megfizethető a titkosszolgálatok és a nagyvállalatok számára. Egy olcsóbb NVIDIA GTX 970 GPU használatával végzett egyszerű ütközéskiválasztás költsége 11 ezer dollár volt, és egy adott előtaggal történő ütközés kiválasztása - 45 ezer dollár (összehasonlításképpen 2012-ben becsülték az SHA-1 ütközéskiválasztásának költségeit 2 millió dollár, 2015-ben pedig 700 ezer). A PGP elleni gyakorlati támadás végrehajtásához két hónapig tartott a számítástechnika 900 NVIDIA GTX 1060 GPU-val, amelyek bérlése 75 XNUMX dollárba került a kutatóknak.
A kutatók által javasolt ütközésészlelési módszer megközelítőleg 10-szer hatékonyabb, mint a korábbi eredmények – az ütközési számítások összetettségi szintje 261.2 helyett 264.7 műveletre csökkent, az adott előtaggal történő ütközések pedig 263.4 művelet helyett 267.1 műveletre. A kutatók azt javasolják, hogy a lehető leghamarabb térjenek át az SHA-1-ről az SHA-256 vagy az SHA-3 használatára, mivel azt jósolják, hogy egy támadás költsége 2025-re 10 XNUMX dollárra csökken.
A GnuPG fejlesztőit október 1-jén értesítették a problémáról (CVE-2019-14855), és november 25-én intézkedtek a problémás tanúsítványok blokkolása érdekében a GnuPG 2.2.18 kiadásában – minden SHA-1 digitális azonosító aláírást, amelyet január 19. után hoztak létre. a tavalyi évet most hibásnak ismerik el. A CAcert, a PGP-kulcsok egyik fő hitelesítő hatósága azt tervezi, hogy biztonságosabb hash-funkciókra tér át a kulcsok hitelesítésére. Az OpenSSL fejlesztői egy új támadási módszerrel kapcsolatos információkra reagálva úgy döntöttek, hogy az alapértelmezett első biztonsági szinten letiltják az SHA-1-et (az SHA-1 nem használható tanúsítványokhoz és digitális aláírásokhoz a csatlakozási egyeztetési folyamat során).
Forrás: opennet.ru