Ricercatori dell’Istituto nazionale francese per la ricerca in informatica e automazione (INRIA) e dell’Università tecnologica di Nanyang (Singapore) migliorata all'algoritmo SHA-1, che semplifica notevolmente la creazione di due documenti diversi con gli stessi hash SHA-1. L'essenza del metodo è ridurre l'operazione di selezione completa delle collisioni in SHA-1 a , in cui si verifica una collisione quando sono presenti determinati prefissi, indipendentemente dal resto dei dati nel set. In altre parole, puoi calcolare due prefissi predefiniti e se ne alleghi uno a un documento e l'altro a un secondo, gli hash SHA-1 risultanti per questi file saranno gli stessi.
Questo tipo di attacco richiede ancora enormi calcoli e la selezione dei prefissi rimane più complicata rispetto alla consueta selezione delle collisioni, ma l’efficienza pratica del risultato è significativamente più elevata. Mentre fino ad ora il metodo più veloce per trovare i prefissi di collisione in SHA-1 richiedeva 277.1 operazioni, il nuovo metodo riduce il numero di calcoli a un intervallo compreso tra 266.9 e 269.4. Con questo livello di elaborazione, il costo stimato di un attacco è inferiore a centomila dollari, un valore ben alla portata delle agenzie di intelligence e delle grandi aziende. Per fare un confronto, la ricerca di una collisione regolare richiede circa 264.7 operazioni.
В Capacità di Google di generare diversi file PDF con lo stesso hash SHA-1 un trucco che prevede l'unione di due documenti in un unico file, il cambio del livello visibile e lo spostamento del segno di selezione del livello nell'area in cui si verifica la collisione. Con costi di risorse simili (Google ha impiegato un anno di calcolo su un cluster di 1 GPU per trovare la prima collisione SHA-110), il nuovo metodo consente di ottenere una corrispondenza SHA-1 per due set di dati arbitrari. Dal punto di vista pratico, puoi preparare certificati TLS che menzionano domini diversi, ma hanno gli stessi hash SHA-1. Questa funzionalità consente ad un'autorità di certificazione senza scrupoli di creare un certificato per una firma digitale, che può essere utilizzato per autorizzare certificati fittizi per domini arbitrari. Il problema può essere utilizzato anche per compromettere i protocolli che si basano sull’evitamento delle collisioni, come TLS, SSH e IPsec.
La strategia proposta per la ricerca dei prefissi per le collisioni prevede la divisione dei calcoli in due fasi. La prima fase ricerca i blocchi che sono sull'orlo di una collisione incorporando variabili di catena casuali in un insieme di differenze target predefinite. Nella seconda fase, a livello dei singoli blocchi, le catene di differenze risultanti vengono confrontate con coppie di stati che portano a collisioni, utilizzando metodi di tradizionali attacchi di selezione delle collisioni.
Nonostante il fatto che la possibilità teorica di un attacco a SHA-1 sia stata dimostrata nel 2005, e in pratica la prima collisione è avvenuta nel 2017 SHA-1 è ancora in uso ed è coperto da alcuni standard e tecnologie (TLS 1.2, Git, ecc.). Lo scopo principale del lavoro svolto era quello di fornire un altro argomento convincente per l’immediata cessazione dell’uso di SHA-1, soprattutto nei certificati e nelle firme digitali.
Inoltre si può notare crittoanalisi di cifrari a blocchi , sviluppato dalla NSA statunitense e approvato come standard nel 2018 .
I ricercatori sono riusciti a sviluppare un metodo per recuperare una chiave privata basato su due coppie note di testo in chiaro e testo cifrato. Con risorse informatiche limitate, la selezione di una chiave richiede da alcune ore a diversi giorni. Il tasso di successo teorico dell'attacco è stimato a 0.25, mentre quello pratico per il prototipo esistente è 0.025.
Fonte: opennet.ru