Vísindamenn frá frönsku ríkisstofnuninni um rannsóknir í upplýsingatækni og sjálfvirkni (INRIA) og Nanyang tækniháskólanum (Singapúr) kynntu árásaraðferð (), sem er kynnt sem fyrsta hagnýta útfærslan á árás á SHA-1 reikniritið sem hægt er að nota til að búa til falsaðar PGP og GnuPG stafrænar undirskriftir. Rannsakendur telja að nú sé hægt að beita öllum hagnýtum árásum á MD5 á SHA-1, þó að þær þurfi enn umtalsvert fjármagn til að hrinda í framkvæmd.
Aðferðin byggist á því að framkvæma , sem gerir þér kleift að velja viðbætur fyrir tvö handahófskennd gagnasett, þegar viðhengi mun úttakið framleiða sett sem valda árekstri, beiting SHA-1 reikniritsins fyrir það mun leiða til myndunar sama kjötkássa sem verður til. Með öðrum orðum, fyrir tvö skjöl sem fyrir eru er hægt að reikna út tvö viðbætur og ef annað er bætt við fyrra skjalið og hitt við það seinna verður SHA-1 kjötkássa sem myndast fyrir þessar skrár eins.
Nýja aðferðin er frábrugðin áður fyrirhuguðum svipuðum aðferðum með því að auka skilvirkni árekstraleitar og sýna fram á hagnýta notkun til að ráðast á PGP. Sérstaklega gátu rannsakendur útbúið tvo PGP opinbera lykla af mismunandi stærðum (RSA-8192 og RSA-6144) með mismunandi notendaauðkennum og með vottorðum sem valda SHA-1 árekstri. innifalið fórnarlambsins auðkenni, og innihélt nafn og mynd árásarmannsins. Þar að auki, þökk sé vali á árekstri, hafði lykilauðkenningarvottorðið, þar á meðal lykilinn og mynd árásarmannsins, sama SHA-1 kjötkássa og auðkenningarvottorðið, þar á meðal lykill og nafn fórnarlambsins.
Árásarmaðurinn gæti beðið um stafræna undirskrift fyrir lykilinn sinn og mynd frá þriðja aðila vottunaryfirvaldi og síðan flutt stafrænu undirskriftina fyrir lykil fórnarlambsins. Stafræna undirskriftin er áfram rétt vegna áreksturs og sannprófunar á lykli árásarmannsins af vottunaryfirvaldi, sem gerir árásarmanninum kleift að ná stjórn á lyklinum með nafni fórnarlambsins (þar sem SHA-1 kjötkássalinn fyrir báða lyklana er sá sami). Þar af leiðandi getur árásarmaðurinn líkt eftir fórnarlambinu og undirritað hvaða skjal sem er fyrir hennar hönd.
Árásin er enn nokkuð kostnaðarsöm, en nú þegar nokkuð á viðráðanlegu verði fyrir leyniþjónustur og stór fyrirtæki. Fyrir einfalt árekstraval með ódýrari NVIDIA GTX 970 GPU var kostnaðurinn 11 þúsund dollarar og fyrir árekstraval með tilteknu forskeyti - 45 þúsund dollarar (til samanburðar, árið 2012 var kostnaður við árekstrarval í SHA-1 áætlaður 2 milljónir dollara, og árið 2015 - 700 þúsund). Til að framkvæma hagnýta árás á PGP tók það tvo mánuði af tölvuvinnslu með því að nota 900 NVIDIA GTX 1060 GPU, en leigan á þeim kostaði rannsakendur $ 75.
Árekstursgreiningaraðferðin sem rannsakendur leggja til er um það bil 10 sinnum áhrifaríkari en fyrri afrek - flækjustig árekstrareikninga var minnkað í 261.2 aðgerðir, í stað 264.7, og árekstrar með tiltekið forskeyti í 263.4 aðgerðir í stað 267.1. Rannsakendur mæla með því að skipta úr SHA-1 yfir í að nota SHA-256 eða SHA-3 eins fljótt og auðið er, þar sem þeir spá því að kostnaður við árás muni lækka í $2025 árið 10.
GnuPG þróunaraðilum var tilkynnt um vandamálið 1. október (CVE-2019-14855) og gripu til aðgerða til að loka á vandræðavottorð þann 25. nóvember í útgáfu GnuPG 2.2.18 - allar SHA-1 stafrænar auðkennisundirskriftir búnar til eftir 19. janúar í fyrra eru nú viðurkennd sem röng. CAcert, eitt af helstu vottunaryfirvöldum fyrir PGP lykla, ætlar að skipta yfir í að nota öruggari kjötkássaaðgerðir fyrir lyklavottun. OpenSSL verktaki, sem svar við upplýsingum um nýja árásaraðferð, ákváðu að slökkva á SHA-1 á sjálfgefna fyrsta öryggisstigi (ekki er hægt að nota SHA-1 fyrir vottorð og stafrænar undirskriftir meðan á samningaviðræðum um tengingu stendur).
Heimild: opennet.ru