ಫ್ರೆಂಚ್ ಸ್ಟೇಟ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ ಫಾರ್ ರಿಸರ್ಚ್ ಇನ್ ಇನ್ಫರ್ಮ್ಯಾಟಿಕ್ಸ್ ಅಂಡ್ ಆಟೊಮೇಷನ್ (INRIA) ಮತ್ತು ನ್ಯಾನ್ಯಾಂಗ್ ಟೆಕ್ನಾಲಜಿಕಲ್ ಯೂನಿವರ್ಸಿಟಿ (ಸಿಂಗಪುರ) ಸಂಶೋಧಕರು ದಾಳಿಯ ವಿಧಾನವನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಿದರು. (), ಇದು ನಕಲಿ PGP ಮತ್ತು GnuPG ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ರಚಿಸಲು ಬಳಸಬಹುದಾದ SHA-1 ಅಲ್ಗಾರಿದಮ್ನ ಮೇಲಿನ ದಾಳಿಯ ಮೊದಲ ಪ್ರಾಯೋಗಿಕ ಅನುಷ್ಠಾನವಾಗಿದೆ. MD5 ಮೇಲಿನ ಎಲ್ಲಾ ಪ್ರಾಯೋಗಿಕ ದಾಳಿಗಳನ್ನು ಈಗ SHA-1 ಗೆ ಅನ್ವಯಿಸಬಹುದು ಎಂದು ಸಂಶೋಧಕರು ನಂಬಿದ್ದಾರೆ, ಆದರೂ ಅವುಗಳು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಇನ್ನೂ ಗಮನಾರ್ಹವಾದ ಸಂಪನ್ಮೂಲಗಳು ಬೇಕಾಗುತ್ತವೆ.
ವಿಧಾನವು ನಡೆಸುವಿಕೆಯನ್ನು ಆಧರಿಸಿದೆ , ಎರಡು ಅನಿಯಂತ್ರಿತ ಡೇಟಾ ಸೆಟ್ಗಳಿಗೆ ಸೇರ್ಪಡೆಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ, ಲಗತ್ತಿಸಿದಾಗ, ಔಟ್ಪುಟ್ ಘರ್ಷಣೆಯನ್ನು ಉಂಟುಮಾಡುವ ಸೆಟ್ಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ, SHA-1 ಅಲ್ಗಾರಿದಮ್ನ ಅಪ್ಲಿಕೇಶನ್ ಅದೇ ಫಲಿತಾಂಶದ ಹ್ಯಾಶ್ ರಚನೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಎರಡು ಡಾಕ್ಯುಮೆಂಟ್ಗಳಿಗೆ, ಎರಡು ಪೂರಕಗಳನ್ನು ಲೆಕ್ಕ ಹಾಕಬಹುದು, ಮತ್ತು ಒಂದನ್ನು ಮೊದಲ ಡಾಕ್ಯುಮೆಂಟ್ಗೆ ಮತ್ತು ಇನ್ನೊಂದನ್ನು ಎರಡನೆಯದಕ್ಕೆ ಸೇರಿಸಿದರೆ, ಈ ಫೈಲ್ಗಳಿಗೆ SHA-1 ಹ್ಯಾಶ್ಗಳು ಒಂದೇ ಆಗಿರುತ್ತವೆ.
ಹೊಸ ವಿಧಾನವು ಘರ್ಷಣೆ ಹುಡುಕಾಟದ ದಕ್ಷತೆಯನ್ನು ಹೆಚ್ಚಿಸುವ ಮೂಲಕ ಮತ್ತು PGP ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಪ್ರಾಯೋಗಿಕ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಹಿಂದೆ ಪ್ರಸ್ತಾಪಿಸಲಾದ ಇದೇ ರೀತಿಯ ತಂತ್ರಗಳಿಂದ ಭಿನ್ನವಾಗಿದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ವಿಭಿನ್ನ ಬಳಕೆದಾರ ID ಗಳೊಂದಿಗೆ ಮತ್ತು SHA-8192 ಘರ್ಷಣೆಯನ್ನು ಉಂಟುಮಾಡುವ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ವಿಭಿನ್ನ ಗಾತ್ರದ (RSA-6144 ಮತ್ತು RSA-1) ಎರಡು PGP ಸಾರ್ವಜನಿಕ ಕೀಗಳನ್ನು ತಯಾರಿಸಲು ಸಂಶೋಧಕರು ಸಮರ್ಥರಾಗಿದ್ದಾರೆ. ಬಲಿಪಶು ID ಅನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಮತ್ತು ದಾಳಿಕೋರನ ಹೆಸರು ಮತ್ತು ಚಿತ್ರವನ್ನು ಒಳಗೊಂಡಿತ್ತು. ಇದಲ್ಲದೆ, ಘರ್ಷಣೆಯ ಆಯ್ಕೆಗೆ ಧನ್ಯವಾದಗಳು, ಕೀ ಮತ್ತು ಆಕ್ರಮಣಕಾರರ ಚಿತ್ರ ಸೇರಿದಂತೆ ಕೀ-ಗುರುತಿಸುವ ಪ್ರಮಾಣಪತ್ರವು ಬಲಿಪಶುವಿನ ಕೀ ಮತ್ತು ಹೆಸರನ್ನು ಒಳಗೊಂಡಂತೆ ಗುರುತಿನ ಪ್ರಮಾಣಪತ್ರದಂತೆಯೇ ಅದೇ SHA-1 ಹ್ಯಾಶ್ ಅನ್ನು ಹೊಂದಿದೆ.
ಆಕ್ರಮಣಕಾರನು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ತನ್ನ ಕೀ ಮತ್ತು ಚಿತ್ರಕ್ಕಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ವಿನಂತಿಸಬಹುದು ಮತ್ತು ನಂತರ ಬಲಿಪಶುವಿನ ಕೀಲಿಗಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ವರ್ಗಾಯಿಸಬಹುದು. ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ಆಕ್ರಮಣಕಾರರ ಕೀಯ ಘರ್ಷಣೆ ಮತ್ತು ಪರಿಶೀಲನೆಯಿಂದಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿ ಸರಿಯಾಗಿಯೇ ಉಳಿದಿದೆ, ಇದು ದಾಳಿಕೋರರಿಗೆ ಬಲಿಪಶುವಿನ ಹೆಸರಿನೊಂದಿಗೆ ಕೀಲಿಯನ್ನು ನಿಯಂತ್ರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಎರಡೂ ಕೀಗಳಿಗೆ SHA-1 ಹ್ಯಾಶ್ ಒಂದೇ ಆಗಿರುವುದರಿಂದ). ಪರಿಣಾಮವಾಗಿ, ದಾಳಿಕೋರನು ಬಲಿಪಶುವನ್ನು ಅನುಕರಿಸಬಹುದು ಮತ್ತು ಆಕೆಯ ಪರವಾಗಿ ಯಾವುದೇ ದಾಖಲೆಗೆ ಸಹಿ ಮಾಡಬಹುದು.
ದಾಳಿಯು ಇನ್ನೂ ಸಾಕಷ್ಟು ದುಬಾರಿಯಾಗಿದೆ, ಆದರೆ ಈಗಾಗಲೇ ಗುಪ್ತಚರ ಸೇವೆಗಳು ಮತ್ತು ದೊಡ್ಡ ಸಂಸ್ಥೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಕೈಗೆಟುಕುವಂತಿದೆ. ಅಗ್ಗದ NVIDIA GTX 970 GPU ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸರಳ ಘರ್ಷಣೆ ಆಯ್ಕೆಗಾಗಿ, ವೆಚ್ಚವು 11 ಸಾವಿರ ಡಾಲರ್ಗಳು ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆ ಆಯ್ಕೆಗೆ - 45 ಸಾವಿರ ಡಾಲರ್ಗಳು (ಹೋಲಿಕೆಗಾಗಿ, 2012 ರಲ್ಲಿ SHA-1 ನಲ್ಲಿ ಘರ್ಷಣೆ ಆಯ್ಕೆಯ ವೆಚ್ಚವನ್ನು ಅಂದಾಜಿಸಲಾಗಿದೆ 2 ಮಿಲಿಯನ್ ಡಾಲರ್ಗಳಲ್ಲಿ, ಮತ್ತು 2015 ರಲ್ಲಿ - 700 ಸಾವಿರ). PGP ಮೇಲೆ ಪ್ರಾಯೋಗಿಕ ದಾಳಿ ನಡೆಸಲು, 900 NVIDIA GTX 1060 GPU ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಎರಡು ತಿಂಗಳ ಕಂಪ್ಯೂಟಿಂಗ್ ತೆಗೆದುಕೊಂಡಿತು, ಅದರ ಬಾಡಿಗೆ ಸಂಶೋಧಕರಿಗೆ $75 ವೆಚ್ಚವಾಯಿತು.
ಸಂಶೋಧಕರು ಪ್ರಸ್ತಾಪಿಸಿದ ಘರ್ಷಣೆ ಪತ್ತೆ ವಿಧಾನವು ಹಿಂದಿನ ಸಾಧನೆಗಳಿಗಿಂತ ಸರಿಸುಮಾರು 10 ಪಟ್ಟು ಹೆಚ್ಚು ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ - ಘರ್ಷಣೆ ಲೆಕ್ಕಾಚಾರಗಳ ಸಂಕೀರ್ಣತೆಯ ಮಟ್ಟವನ್ನು 261.2 ಬದಲಿಗೆ 264.7 ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ ಮತ್ತು 263.4 ರ ಬದಲಿಗೆ 267.1 ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ನೀಡಿದ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆಗಳು. ಸಂಶೋಧಕರು SHA-1 ನಿಂದ SHA-256 ಅಥವಾ SHA-3 ಅನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ, ಏಕೆಂದರೆ ದಾಳಿಯ ವೆಚ್ಚವು 2025 ರ ವೇಳೆಗೆ $10 ಕ್ಕೆ ಇಳಿಯುತ್ತದೆ ಎಂದು ಅವರು ಊಹಿಸುತ್ತಾರೆ.
ಅಕ್ಟೋಬರ್ 1 (CVE-2019-14855) ರಂದು GnuPG ಡೆವಲಪರ್ಗಳಿಗೆ ಸಮಸ್ಯೆಯ ಕುರಿತು ಸೂಚನೆ ನೀಡಲಾಯಿತು ಮತ್ತು ನವೆಂಬರ್ 25 ರಂದು GnuPG 2.2.18 ಬಿಡುಗಡೆಯಲ್ಲಿ ಸಮಸ್ಯಾತ್ಮಕ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಕ್ರಮ ಕೈಗೊಂಡರು - ಜನವರಿ 1 ರ ನಂತರ ರಚಿಸಲಾದ ಎಲ್ಲಾ SHA-19 ಡಿಜಿಟಲ್ ಗುರುತಿನ ಸಹಿಗಳು ಕಳೆದ ವರ್ಷ ಈಗ ತಪ್ಪಾಗಿದೆ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ. PGP ಕೀಗಳ ಮುಖ್ಯ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರಗಳಲ್ಲಿ ಒಂದಾದ CAcert, ಕೀ ಪ್ರಮಾಣೀಕರಣಕ್ಕಾಗಿ ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಹ್ಯಾಶ್ ಕಾರ್ಯಗಳನ್ನು ಬಳಸಲು ಬದಲಾಯಿಸಲು ಯೋಜಿಸಿದೆ. OpenSSL ಡೆವಲಪರ್ಗಳು, ಹೊಸ ದಾಳಿ ವಿಧಾನದ ಬಗ್ಗೆ ಮಾಹಿತಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಡೀಫಾಲ್ಟ್ ಮೊದಲ ಹಂತದ ಭದ್ರತೆಯಲ್ಲಿ SHA-1 ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ನಿರ್ಧರಿಸಿದ್ದಾರೆ (ಸಂಪರ್ಕ ಸಮಾಲೋಚನಾ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಡಿಜಿಟಲ್ ಸಹಿಗಳಿಗಾಗಿ SHA-1 ಅನ್ನು ಬಳಸಲಾಗುವುದಿಲ್ಲ).
ಮೂಲ: opennet.ru