Peneliti dari Institut Penelitian Informatika dan Otomasi Negara Perancis (INRIA) dan Universitas Teknologi Nanyang (Singapura) mempresentasikan metode serangan
Metodenya didasarkan pada pelaksanaan
Metode baru ini berbeda dari teknik serupa yang diusulkan sebelumnya dengan meningkatkan efisiensi pencarian tabrakan dan menunjukkan penerapan praktis untuk menyerang PGP. Secara khusus, para peneliti dapat menyiapkan dua kunci publik PGP dengan ukuran berbeda (RSA-8192 dan RSA-6144) dengan ID pengguna berbeda dan dengan sertifikat yang menyebabkan tabrakan SHA-1.
Penyerang dapat meminta tanda tangan digital untuk kunci dan gambarnya dari otoritas sertifikasi pihak ketiga, dan kemudian mentransfer tanda tangan digital untuk kunci korban. Tanda tangan digital tetap benar karena tabrakan dan verifikasi kunci penyerang oleh otoritas sertifikasi, yang memungkinkan penyerang mendapatkan kendali atas kunci dengan nama korban (karena hash SHA-1 untuk kedua kunci adalah sama). Akibatnya, penyerang dapat menyamar sebagai korban dan menandatangani dokumen apa pun atas namanya.
Serangan ini masih memerlukan biaya yang cukup besar, namun sudah cukup terjangkau bagi badan intelijen dan perusahaan besar. Untuk pemilihan tabrakan sederhana menggunakan GPU NVIDIA GTX 970 yang lebih murah, biayanya adalah 11 ribu dolar, dan untuk pemilihan tabrakan dengan awalan tertentu - 45 ribu dolar (sebagai perbandingan, pada tahun 2012 biaya pemilihan tabrakan di SHA-1 diperkirakan seharga 2 juta dolar, dan pada tahun 2015 - 700 ribu). Untuk melakukan serangan praktis terhadap PGP, diperlukan waktu dua bulan komputasi menggunakan 900 GPU NVIDIA GTX 1060, yang biaya sewanya bagi peneliti sebesar $75.
Metode deteksi tabrakan yang diusulkan oleh para peneliti kira-kira 10 kali lebih efektif dibandingkan pencapaian sebelumnya - tingkat kerumitan penghitungan tabrakan dikurangi menjadi 261.2 operasi, bukan 264.7, dan tabrakan dengan awalan tertentu menjadi 263.4 operasi, bukan 267.1. Para peneliti merekomendasikan untuk beralih dari SHA-1 ke SHA-256 atau SHA-3 sesegera mungkin, karena mereka memperkirakan biaya serangan akan turun menjadi $2025 pada tahun 10.
Pengembang GnuPG diberitahu tentang masalah ini pada tanggal 1 Oktober (CVE-2019-14855) dan mengambil tindakan untuk memblokir sertifikat yang bermasalah pada tanggal 25 November dalam rilis GnuPG 2.2.18 - semua tanda tangan identitas digital SHA-1 yang dibuat setelah tanggal 19 Januari tahun tahun lalu sekarang diakui salah. CAcert, salah satu otoritas sertifikasi utama untuk kunci PGP, berencana beralih menggunakan fungsi hash yang lebih aman untuk sertifikasi kunci. Pengembang OpenSSL, sebagai tanggapan terhadap informasi tentang metode serangan baru, memutuskan untuk menonaktifkan SHA-1 pada tingkat keamanan default pertama (SHA-1 tidak dapat digunakan untuk sertifikat dan tanda tangan digital selama proses negosiasi koneksi).
Sumber: opennet.ru