Ֆրանսիական Ինֆորմատիկայի և ավտոմատացման հետազոտությունների պետական ինստիտուտի (INRIA) և Նանյան տեխնոլոգիական համալսարանի (Սինգապուր) հետազոտողները ներկայացրել են հարձակման մեթոդ. (), որը գովազդվում է որպես SHA-1 ալգորիթմի վրա հարձակման առաջին գործնական իրականացումը, որը կարող է օգտագործվել կեղծ PGP և GnuPG թվային ստորագրություններ ստեղծելու համար։ Հետազոտողները կարծում են, որ MD5-ի վրա բոլոր գործնական հարձակումներն այժմ կարող են կիրառվել SHA-1-ի վրա, թեև դրանք դեռևս զգալի ռեսուրսներ են պահանջում իրականացնելու համար:
Մեթոդը հիմնված է իրականացնելու վրա , որը թույլ է տալիս ընտրել հավելումներ երկու կամայական տվյալների հավաքածուների համար, երբ կցվում է, ելքը կստեղծի բախում առաջացնող հավաքածուներ, որոնց համար SHA-1 ալգորիթմի կիրառումը կհանգեցնի ստացված նույն հեշի ձևավորմանը։ Այլ կերպ ասած, երկու գոյություն ունեցող փաստաթղթերի համար կարելի է հաշվարկել երկու լրացում, և եթե մեկը կցվի առաջին փաստաթղթին, իսկ մյուսը երկրորդին, ապա ստացված SHA-1 հեշերը այս ֆայլերի համար կլինեն նույնը:
Նոր մեթոդը տարբերվում է նախկինում առաջարկված նմանատիպ մեթոդներից՝ բարձրացնելով բախումների որոնման արդյունավետությունը և ցուցադրելով գործնական կիրառություն PGP-ին հարձակվելու համար: Մասնավորապես, հետազոտողները կարողացել են պատրաստել տարբեր չափերի երկու PGP հանրային բանալիներ (RSA-8192 և RSA-6144) տարբեր օգտվողների ID-ներով և վկայականներով, որոնք առաջացնում են SHA-1 բախում: ներառված է զոհի վկայականը, և ներառել է հարձակվողի անունն ու կերպարը: Ավելին, բախման ընտրության շնորհիվ բանալին նույնականացնող վկայականը, ներառյալ բանալին և հարձակվողի պատկերը, ուներ նույն SHA-1 հեշը, ինչ նույնականացման վկայականը, ներառյալ զոհի բանալին և անունը:
Հարձակվողը կարող է պահանջել թվային ստորագրություն իր բանալին և պատկերը երրորդ կողմի հավաստագրման մարմնից, այնուհետև փոխանցել զոհի բանալին թվային ստորագրությունը: Թվային ստորագրությունը ճիշտ է մնում՝ կապված սերտիֆիկացման մարմնի կողմից հարձակվողի բանալին բախվելու և ստուգման հետ, ինչը հարձակվողին թույլ է տալիս վերահսկել զոհի անունով բանալին (քանի որ SHA-1 հեշը երկու բանալիների համար նույնն է): Արդյունքում հարձակվողը կարող է ներկայանալ զոհին և ստորագրել նրա անունից ցանկացած փաստաթուղթ։
Հարձակումը դեռ բավականին ծախսատար է, բայց արդեն բավականին մատչելի է հետախուզական ծառայությունների և խոշոր կորպորացիաների համար: Պարզ բախման ընտրության համար՝ օգտագործելով ավելի էժան NVIDIA GTX 970 GPU, ծախսերը կազմել են 11 հազար դոլար, իսկ տվյալ նախածանցով բախման ընտրության համար՝ 45 հազար դոլար (համեմատության համար՝ 2012 թվականին SHA-1-ում բախման ընտրության ծախսերը կազմել են. գնահատվել է 2 մլն դոլար, իսկ 2015թ.՝ 700 հազ.): PGP-ի վրա գործնական հարձակում իրականացնելու համար պահանջվել է երկու ամիս հաշվարկ՝ օգտագործելով 900 NVIDIA GTX 1060 GPU, որոնց վարձույթը հետազոտողներին արժեցել է 75 դոլար:
Հետազոտողների կողմից առաջարկված բախման հայտնաբերման մեթոդը մոտավորապես 10 անգամ ավելի արդյունավետ է, քան նախորդ ձեռքբերումները. բախումների հաշվարկների բարդության մակարդակը կրճատվել է մինչև 261.2 գործողություն՝ 264.7-ի փոխարեն, և տրված նախածանցով բախումներ՝ 263.4-ի փոխարեն 267.1 գործողությունների: Հետազոտողները խորհուրդ են տալիս որքան հնարավոր է շուտ անցնել SHA-1-ից SHA-256 կամ SHA-3 օգտագործմանը, քանի որ նրանք կանխատեսում են, որ հարձակման արժեքը 2025 թվականին կնվազի մինչև $10:
GnuPG-ի մշակողները խնդրի մասին ծանուցվել են հոկտեմբերի 1-ին (CVE-2019-14855) և գործողություններ են ձեռնարկել արգելափակելու խնդրահարույց վկայագրերը նոյեմբերի 25-ին՝ GnuPG 2.2.18-ի թողարկման ժամանակ՝ SHA-1 թվային ինքնության բոլոր ստորագրությունները, որոնք ստեղծվել են հունվարի 19-ից հետո: անցած տարին այժմ սխալ է ճանաչվել։ CAcert-ը, PGP բանալիների հավաստագրման հիմնական մարմիններից մեկը, նախատեսում է անցնել ավելի ապահով հեշ գործառույթների օգտագործմանը բանալիների հավաստագրման համար: OpenSSL-ի մշակողները, ի պատասխան հարձակման նոր մեթոդի մասին տեղեկատվության, որոշեցին անջատել SHA-1-ը լռելյայն անվտանգության առաջին մակարդակում (SHA-1-ը չի կարող օգտագործվել վկայագրերի և թվային ստորագրությունների համար կապի բանակցությունների գործընթացում):
Source: opennet.ru