Rannsakendur frá frönsku rannsóknarstofnuninni í upplýsingatækni og sjálfvirkni (INRIA) og tækniháskólanum í Nanyang (Singapúr) hafa kynnt árásaraðferð. (), sem er kynnt sem fyrsta raunhæfa útfærslan á árás á SHA-1 reikniritið, sem hægt er að nota til að búa til falsa stafrænar undirskriftir í PGP og GnuPG. Rannsakendurnir telja að allar raunhæfar árásir á MD5 geti nú verið notaðar á SHA-1, þó að þær þurfi enn verulegar auðlindir til að framkvæma.
Aðferðin byggir á því að framkvæma , sem gerir kleift að velja fyllingar fyrir tvö handahófskennd gagnasöfn sem, þegar þau eru bætt við, munu gefa árekstrargögn, en fyrir þau mun notkun SHA-1 reikniritsins gefa sama niðurstöðu kjötkássunar. Með öðrum orðum, hægt er að reikna út tvær fyllingar fyrir tvö núverandi skjöl, og ef annað er bætt við fyrra skjalið og hitt við það seinna, þá verða SHA-1 kjötkássurnar fyrir þessar skrár eins.
Nýja aðferðin er frábrugðin fyrri svipuðum aðferðum með því að bæta skilvirkni árekstrargreiningar og sýna fram á hagnýta notkun hennar við árásir á PGP. Rannsakendurnir gátu sérstaklega búið til tvo opinbera PGP lykla af mismunandi stærðum (RSA-8192 og RSA-6144) með mismunandi notendakennum og vottorðum sem virkja SHA-1 árekstra. innihélt skilríki fórnarlambsins, og innihélt nafn og mynd árásarmannsins. Þar að auki, vegna árekstrargreiningar, hafði lykilauðkennisvottorðið, sem innihélt lykil og mynd árásarmannsins, sama SHA-1 dulkóðun og auðkennisvottorðið, sem innihélt lykil og nafn fórnarlambsins.
Árásarmaðurinn gæti óskað eftir stafrænni undirskrift fyrir lykil sinn og mynd frá þriðja aðila vottunaraðila (CA) og síðan flutt stafrænu undirskriftina yfir á lykil fórnarlambsins. Stafræna undirskriftin helst gild vegna árekstrarins og vottunar CA á lykli árásarmannsins, sem gerir árásarmanninum kleift að fá stjórn á lyklinum sem er nefndur eftir fórnarlambinu (þar sem SHA-1 dulritunin fyrir báða lykla stemmir). Þar af leiðandi getur árásarmaðurinn hermt eftir fórnarlambinu og undirritað hvaða skjal sem er fyrir sína hönd.
Árásin er enn frekar dýr en er nú vel innan seilingar leyniþjónustustofnana og stórfyrirtækja. Einföld árekstrarárás með bruteforce sem notar ódýrara NVIDIA GTX 970 skjákort kostaði 11 dollara en bruteforce árás með tilteknu forskeyti kostaði 45 dollara (til samanburðar var kostnaður við bruteforce árás í SHA-1 áætlaður 2 milljónir dollara árið 2012 og 700 dollarar árið 2015). Að framkvæma hagnýta árás á PGP krafðist tveggja mánaða útreikninga með 900 NVIDIA GTX 1060 skjákortum, sem kostaði vísindamennina 75 dollara í leigu.
Aðferð vísindamannanna til að greina árekstra er um það bil tífalt skilvirkari en fyrri afrek — þær minnkuðu flækjustig árekstraútreikninga í 261.2 aðgerðir í stað 264.7 og árekstra með tilteknu forskeyti í 263.4 aðgerðir í stað 267.1. Vísindamennirnir mæla með að skipta úr SHA-1 yfir í SHA-256 eða SHA-3 eins fljótt og auðið er, þar sem þeir spá því að kostnaður við árás muni lækka í $10.000 fyrir árið 2025.
GnuPG-forritararnir voru látnir vita af vandamálinu 1. október (CVE-2019-14855) og gripu til aðgerða til að loka fyrir viðkomandi vottorð í GnuPG 2.2.18 þann 25. nóvember. Allar stafrænar SHA-1 undirskriftir sem búnar voru til eftir 19. janúar síðastliðins árs eru nú taldar ógildar. CAcert, einn helsti vottunaraðili fyrir PGP-lykla, hyggst skipta yfir í öruggari dulritunarvirkni fyrir lyklavottun. Í kjölfar upplýsinga um nýju árásaraðferðina ákváðu OpenSSL-forritararnir að slökkva á SHA-1 á sjálfgefnu öryggisstigi 1 (SHA-1 verður ekki lengur leyfilegt fyrir vottorð og stafrænar undirskriftir við handaband).
Heimild: opennet.ru
