I ricercatori dell'Istituto statale francese per la ricerca in informatica e automazione (INRIA) e dell'Università tecnologica di Nanyang (Singapore) hanno presentato un metodo di attacco (), che viene pubblicizzato come la prima implementazione pratica di un attacco all'algoritmo SHA-1 che può essere utilizzato per creare firme digitali PGP e GnuPG fasulle. I ricercatori ritengono che tutti gli attacchi pratici contro MD5 possano ora essere applicati a SHA-1, anche se richiedono ancora risorse significative per essere implementati.
Il metodo si basa sull'esecuzione , che consente di selezionare addizioni per due set di dati arbitrari, una volta allegato, l'output produrrà set che causano una collisione, l'applicazione dell'algoritmo SHA-1 per il quale porterà alla formazione dello stesso hash risultante. In altre parole, per due documenti esistenti, è possibile calcolare due complementi e, se uno viene aggiunto al primo documento e l'altro al secondo, gli hash SHA-1 risultanti per questi file saranno gli stessi.
Il nuovo metodo differisce dalle tecniche simili proposte in precedenza aumentando l'efficienza della ricerca delle collisioni e dimostrando un'applicazione pratica per attaccare PGP. In particolare, i ricercatori sono riusciti a preparare due chiavi pubbliche PGP di dimensioni diverse (RSA-8192 e RSA-6144) con ID utente diversi e con certificati che provocano una collisione SHA-1. incluso l'ID della vittima e includeva il nome e l'immagine dell'aggressore. Inoltre, grazie alla selezione delle collisioni, il certificato di identificazione della chiave, inclusa la chiave e l’immagine dell’aggressore, aveva lo stesso hash SHA-1 del certificato di identificazione, inclusa la chiave e il nome della vittima.
L'aggressore potrebbe richiedere una firma digitale per la sua chiave e la sua immagine a un'autorità di certificazione di terze parti e quindi trasferire la firma digitale per la chiave della vittima. La firma digitale rimane corretta grazie alla collisione e alla verifica della chiave dell’aggressore da parte di un’autorità di certificazione, che consente all’aggressore di ottenere il controllo della chiave con il nome della vittima (poiché l’hash SHA-1 per entrambe le chiavi è lo stesso). Di conseguenza, l’aggressore può impersonare la vittima e firmare qualsiasi documento per suo conto.
L’attacco è ancora piuttosto costoso, ma già abbastanza abbordabile per i servizi di intelligence e le grandi aziende. Per una semplice selezione di collisione utilizzando una GPU NVIDIA GTX 970 più economica, i costi erano di 11 mila dollari, e per una selezione di collisione con un determinato prefisso - 45 mila dollari (per confronto, nel 2012, i costi per la selezione di collisione in SHA-1 erano stimato in 2 milioni di dollari e nel 2015 - 700 mila). Per effettuare un attacco pratico a PGP, ci sono voluti due mesi di calcolo utilizzando 900 GPU NVIDIA GTX 1060, il cui noleggio è costato ai ricercatori 75 dollari.
Il metodo di rilevamento delle collisioni proposto dai ricercatori è circa 10 volte più efficace dei risultati precedenti: il livello di complessità dei calcoli delle collisioni è stato ridotto a 261.2 operazioni invece di 264.7, e le collisioni con un determinato prefisso a 263.4 operazioni invece di 267.1. I ricercatori raccomandano di passare il prima possibile da SHA-1 a SHA-256 o SHA-3, poiché prevedono che il costo di un attacco scenderà a 2025 dollari entro il 10.
Gli sviluppatori di GnuPG sono stati informati del problema il 1° ottobre (CVE-2019-14855) e sono intervenuti per bloccare i certificati problematici il 25 novembre nel rilascio di GnuPG 2.2.18 - tutte le firme di identità digitale SHA-1 create dopo il 19 gennaio del 1. l'anno scorso sono ora riconosciuti come errati. CAcert, una delle principali autorità di certificazione per le chiavi PGP, prevede di passare all'utilizzo di funzioni hash più sicure per la certificazione delle chiavi. Gli sviluppatori di OpenSSL, in risposta alle informazioni su un nuovo metodo di attacco, hanno deciso di disabilitare SHA-1 al primo livello di sicurezza predefinito (SHA-XNUMX non può essere utilizzato per certificati e firme digitali durante il processo di negoziazione della connessione).
Fonte: opennet.ru