Peneliti dari Institut Penelitian Informatika dan Otomasi Negara Perancis (INRIA) dan Universitas Teknologi Nanyang (Singapura) mempresentasikan metode serangan (), yang disebut-sebut sebagai implementasi praktis pertama dari serangan terhadap algoritma SHA-1 yang dapat digunakan untuk membuat tanda tangan digital PGP dan GnuPG palsu. Para peneliti percaya bahwa semua serangan praktis terhadap MD5 kini dapat diterapkan pada SHA-1, meskipun serangan tersebut masih memerlukan sumber daya yang signifikan untuk diterapkan.
Metodenya didasarkan pada pelaksanaan , yang memungkinkan Anda memilih tambahan untuk dua kumpulan data arbitrer, ketika dilampirkan, keluarannya akan menghasilkan kumpulan yang menyebabkan tabrakan, penerapan algoritme SHA-1 yang akan mengarah pada pembentukan hash yang dihasilkan sama. Dengan kata lain, untuk dua dokumen yang ada, dua pelengkap dapat dihitung, dan jika satu ditambahkan ke dokumen pertama dan yang lainnya ditambahkan ke dokumen kedua, hash SHA-1 yang dihasilkan untuk file-file ini akan sama.
Metode baru ini berbeda dari teknik serupa yang diusulkan sebelumnya dengan meningkatkan efisiensi pencarian tabrakan dan menunjukkan penerapan praktis untuk menyerang PGP. Secara khusus, para peneliti dapat menyiapkan dua kunci publik PGP dengan ukuran berbeda (RSA-8192 dan RSA-6144) dengan ID pengguna berbeda dan dengan sertifikat yang menyebabkan tabrakan SHA-1. termasuk ID korban, dan termasuk nama dan gambar penyerang. Selain itu, berkat pemilihan tabrakan, sertifikat pengidentifikasi kunci, termasuk kunci dan gambar penyerang, memiliki hash SHA-1 yang sama dengan sertifikat identifikasi, termasuk kunci dan nama korban.
Penyerang dapat meminta tanda tangan digital untuk kunci dan gambarnya dari otoritas sertifikasi pihak ketiga, dan kemudian mentransfer tanda tangan digital untuk kunci korban. Tanda tangan digital tetap benar karena tabrakan dan verifikasi kunci penyerang oleh otoritas sertifikasi, yang memungkinkan penyerang mendapatkan kendali atas kunci dengan nama korban (karena hash SHA-1 untuk kedua kunci adalah sama). Akibatnya, penyerang dapat menyamar sebagai korban dan menandatangani dokumen apa pun atas namanya.
Serangan ini masih memerlukan biaya yang cukup besar, namun sudah cukup terjangkau bagi badan intelijen dan perusahaan besar. Untuk pemilihan tabrakan sederhana menggunakan GPU NVIDIA GTX 970 yang lebih murah, biayanya adalah 11 ribu dolar, dan untuk pemilihan tabrakan dengan awalan tertentu - 45 ribu dolar (sebagai perbandingan, pada tahun 2012 biaya pemilihan tabrakan di SHA-1 diperkirakan seharga 2 juta dolar, dan pada tahun 2015 - 700 ribu). Untuk melakukan serangan praktis terhadap PGP, diperlukan waktu dua bulan komputasi menggunakan 900 GPU NVIDIA GTX 1060, yang biaya sewanya bagi peneliti sebesar $75.
Metode deteksi tabrakan yang diusulkan oleh para peneliti kira-kira 10 kali lebih efektif dibandingkan pencapaian sebelumnya - tingkat kerumitan penghitungan tabrakan dikurangi menjadi 261.2 operasi, bukan 264.7, dan tabrakan dengan awalan tertentu menjadi 263.4 operasi, bukan 267.1. Para peneliti merekomendasikan untuk beralih dari SHA-1 ke SHA-256 atau SHA-3 sesegera mungkin, karena mereka memperkirakan biaya serangan akan turun menjadi $2025 pada tahun 10.
Pengembang GnuPG diberitahu tentang masalah ini pada tanggal 1 Oktober (CVE-2019-14855) dan mengambil tindakan untuk memblokir sertifikat yang bermasalah pada tanggal 25 November dalam rilis GnuPG 2.2.18 - semua tanda tangan identitas digital SHA-1 yang dibuat setelah tanggal 19 Januari tahun tahun lalu sekarang diakui salah. CAcert, salah satu otoritas sertifikasi utama untuk kunci PGP, berencana beralih menggunakan fungsi hash yang lebih aman untuk sertifikasi kunci. Pengembang OpenSSL, sebagai tanggapan terhadap informasi tentang metode serangan baru, memutuskan untuk menonaktifkan SHA-1 pada tingkat keamanan default pertama (SHA-1 tidak dapat digunakan untuk sertifikat dan tanda tangan digital selama proses negosiasi koneksi).
Sumber: opennet.ru