フランス国立情報学自動化研究所(INRIA)と南洋理工大学(シンガポール)の研究者が攻撃手法を発表 ()、偽の PGP および GnuPG デジタル署名の作成に使用できる SHA-1 アルゴリズムに対する攻撃の最初の実用的な実装として宣伝されています。研究者らは、MD5 に対するすべての実際的な攻撃は SHA-1 に適用できると考えていますが、実装には依然として多大なリソースが必要です。
この方法は、次の実行に基づいています。 、これを使用すると、1 つの任意のデータ セットの加算を選択できます。これを付加すると、出力では衝突を引き起こすセットが生成され、SHA-1 アルゴリズムが適用されて、同じ結果のハッシュが形成されます。つまり、XNUMX つの既存のドキュメントの場合、XNUMX つの補数を計算でき、一方を最初のドキュメントに追加し、もう一方を XNUMX 番目のドキュメントに追加すると、これらのファイルの結果として得られる SHA-XNUMX ハッシュは同じになります。
新しい方法は、衝突探索の効率を高め、PGP 攻撃への実用的な応用を実証するという点で、以前に提案された同様の技術とは異なります。特に、研究者らは、異なるユーザー ID と SHA-8192 衝突を引き起こす証明書を持つ、サイズの異なる 6144 つの PGP 公開鍵 (RSA-1 と RSA-XNUMX) を準備することができました。 被害者IDが含まれており、 攻撃者の名前と画像が含まれていました。さらに、衝突選択のおかげで、キーと攻撃者の画像を含むキー識別証明書には、被害者のキーと名前を含む識別証明書と同じ SHA-1 ハッシュが含まれていました。
攻撃者は、自分のキーとイメージのデジタル署名をサードパーティの認証局に要求し、被害者のキーのデジタル署名を転送する可能性があります。認証局による攻撃者のキーの衝突と検証により、デジタル署名は正しいままです。これにより、攻撃者は被害者の名前を持つキーを制御できるようになります (両方のキーの SHA-1 ハッシュが同じであるため)。その結果、攻撃者は被害者になりすまして、被害者に代わってあらゆる文書に署名することができます。
この攻撃には依然としてかなりの費用がかかりますが、諜報機関や大企業にとってはすでにかなり手頃な価格です。安価な NVIDIA GTX 970 GPU を使用した単純な衝突選択のコストは 11 ドル、特定のプレフィックスを使用した衝突選択の場合は 45 ドルでした (比較のために、2012 年の SHA-1 での衝突選択のコストは推定2万ドル、2015年には700万ドル)。 PGP に対して実際の攻撃を実行するには、900 個の NVIDIA GTX 1060 GPU を使用したコンピューティングに 75 か月かかり、研究者らのレンタル費用は XNUMX ドルでした。
研究者らによって提案された衝突検出方法は、これまでの成果よりも約 10 倍効果的です。衝突計算の複雑さのレベルは、261.2 オペレーションではなく 264.7 オペレーションに減少し、特定のプレフィックスとの衝突では 263.4 オペレーションではなく 267.1 オペレーションに減少しました。研究者らは、1 年までに攻撃コストが 256 ドルに低下すると予測しているため、できるだけ早く SHA-3 から SHA-2025 または SHA-10 の使用に切り替えることを推奨しています。
GnuPG 開発者は 1 月 2019 日にこの問題 (CVE-14855-25) を通知され、2.2.18 月 1 日に GnuPG 19 のリリースで問題のある証明書 (すべての SHA-1 デジタル ID 署名は 1 月 XNUMX 日以降に作成されたもの) をブロックする措置を講じました。昨年の記述は現在では間違っていると認識されています。 PGP キーの主要な認証局の XNUMX つである CAcert は、キーの認証に、より安全なハッシュ関数の使用に切り替えることを計画しています。 OpenSSL 開発者は、新しい攻撃方法に関する情報に応じて、デフォルトの第 XNUMX レベルのセキュリティで SHA-XNUMX を無効にすることを決定しました (SHA-XNUMX は、接続ネゴシエーション プロセス中に証明書とデジタル署名に使用できません)。
出所: オープンネット.ru