ಫ್ರೆಂಚ್ ಸ್ಟೇಟ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ ಫಾರ್ ರಿಸರ್ಚ್ ಇನ್ ಇನ್ಫರ್ಮ್ಯಾಟಿಕ್ಸ್ ಅಂಡ್ ಆಟೊಮೇಷನ್ (INRIA) ಮತ್ತು ನ್ಯಾನ್ಯಾಂಗ್ ಟೆಕ್ನಾಲಜಿಕಲ್ ಯೂನಿವರ್ಸಿಟಿ (ಸಿಂಗಪುರ) ಸಂಶೋಧಕರು ದಾಳಿಯ ವಿಧಾನವನ್ನು ಪ್ರಸ್ತುತಪಡಿಸಿದರು.
ವಿಧಾನವು ನಡೆಸುವಿಕೆಯನ್ನು ಆಧರಿಸಿದೆ
ಹೊಸ ವಿಧಾನವು ಘರ್ಷಣೆ ಹುಡುಕಾಟದ ದಕ್ಷತೆಯನ್ನು ಹೆಚ್ಚಿಸುವ ಮೂಲಕ ಮತ್ತು PGP ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಪ್ರಾಯೋಗಿಕ ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಹಿಂದೆ ಪ್ರಸ್ತಾಪಿಸಲಾದ ಇದೇ ರೀತಿಯ ತಂತ್ರಗಳಿಂದ ಭಿನ್ನವಾಗಿದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ವಿಭಿನ್ನ ಬಳಕೆದಾರ ID ಗಳೊಂದಿಗೆ ಮತ್ತು SHA-8192 ಘರ್ಷಣೆಯನ್ನು ಉಂಟುಮಾಡುವ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ವಿಭಿನ್ನ ಗಾತ್ರದ (RSA-6144 ಮತ್ತು RSA-1) ಎರಡು PGP ಸಾರ್ವಜನಿಕ ಕೀಗಳನ್ನು ತಯಾರಿಸಲು ಸಂಶೋಧಕರು ಸಮರ್ಥರಾಗಿದ್ದಾರೆ.
ಆಕ್ರಮಣಕಾರನು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ತನ್ನ ಕೀ ಮತ್ತು ಚಿತ್ರಕ್ಕಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ವಿನಂತಿಸಬಹುದು ಮತ್ತು ನಂತರ ಬಲಿಪಶುವಿನ ಕೀಲಿಗಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ವರ್ಗಾಯಿಸಬಹುದು. ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ಆಕ್ರಮಣಕಾರರ ಕೀಯ ಘರ್ಷಣೆ ಮತ್ತು ಪರಿಶೀಲನೆಯಿಂದಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿ ಸರಿಯಾಗಿಯೇ ಉಳಿದಿದೆ, ಇದು ದಾಳಿಕೋರರಿಗೆ ಬಲಿಪಶುವಿನ ಹೆಸರಿನೊಂದಿಗೆ ಕೀಲಿಯನ್ನು ನಿಯಂತ್ರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ (ಎರಡೂ ಕೀಗಳಿಗೆ SHA-1 ಹ್ಯಾಶ್ ಒಂದೇ ಆಗಿರುವುದರಿಂದ). ಪರಿಣಾಮವಾಗಿ, ದಾಳಿಕೋರನು ಬಲಿಪಶುವನ್ನು ಅನುಕರಿಸಬಹುದು ಮತ್ತು ಆಕೆಯ ಪರವಾಗಿ ಯಾವುದೇ ದಾಖಲೆಗೆ ಸಹಿ ಮಾಡಬಹುದು.
ದಾಳಿಯು ಇನ್ನೂ ಸಾಕಷ್ಟು ದುಬಾರಿಯಾಗಿದೆ, ಆದರೆ ಈಗಾಗಲೇ ಗುಪ್ತಚರ ಸೇವೆಗಳು ಮತ್ತು ದೊಡ್ಡ ಸಂಸ್ಥೆಗಳಿಗೆ ಸಾಕಷ್ಟು ಕೈಗೆಟುಕುವಂತಿದೆ. ಅಗ್ಗದ NVIDIA GTX 970 GPU ಅನ್ನು ಬಳಸಿಕೊಂಡು ಸರಳ ಘರ್ಷಣೆ ಆಯ್ಕೆಗಾಗಿ, ವೆಚ್ಚವು 11 ಸಾವಿರ ಡಾಲರ್ಗಳು ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆ ಆಯ್ಕೆಗೆ - 45 ಸಾವಿರ ಡಾಲರ್ಗಳು (ಹೋಲಿಕೆಗಾಗಿ, 2012 ರಲ್ಲಿ SHA-1 ನಲ್ಲಿ ಘರ್ಷಣೆ ಆಯ್ಕೆಯ ವೆಚ್ಚವನ್ನು ಅಂದಾಜಿಸಲಾಗಿದೆ 2 ಮಿಲಿಯನ್ ಡಾಲರ್ಗಳಲ್ಲಿ, ಮತ್ತು 2015 ರಲ್ಲಿ - 700 ಸಾವಿರ). PGP ಮೇಲೆ ಪ್ರಾಯೋಗಿಕ ದಾಳಿ ನಡೆಸಲು, 900 NVIDIA GTX 1060 GPU ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಎರಡು ತಿಂಗಳ ಕಂಪ್ಯೂಟಿಂಗ್ ತೆಗೆದುಕೊಂಡಿತು, ಅದರ ಬಾಡಿಗೆ ಸಂಶೋಧಕರಿಗೆ $75 ವೆಚ್ಚವಾಯಿತು.
ಸಂಶೋಧಕರು ಪ್ರಸ್ತಾಪಿಸಿದ ಘರ್ಷಣೆ ಪತ್ತೆ ವಿಧಾನವು ಹಿಂದಿನ ಸಾಧನೆಗಳಿಗಿಂತ ಸರಿಸುಮಾರು 10 ಪಟ್ಟು ಹೆಚ್ಚು ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ - ಘರ್ಷಣೆ ಲೆಕ್ಕಾಚಾರಗಳ ಸಂಕೀರ್ಣತೆಯ ಮಟ್ಟವನ್ನು 261.2 ಬದಲಿಗೆ 264.7 ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ ಮತ್ತು 263.4 ರ ಬದಲಿಗೆ 267.1 ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ನೀಡಿದ ಪೂರ್ವಪ್ರತ್ಯಯದೊಂದಿಗೆ ಘರ್ಷಣೆಗಳು. ಸಂಶೋಧಕರು SHA-1 ನಿಂದ SHA-256 ಅಥವಾ SHA-3 ಅನ್ನು ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಬಳಸಲು ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ, ಏಕೆಂದರೆ ದಾಳಿಯ ವೆಚ್ಚವು 2025 ರ ವೇಳೆಗೆ $10 ಕ್ಕೆ ಇಳಿಯುತ್ತದೆ ಎಂದು ಅವರು ಊಹಿಸುತ್ತಾರೆ.
ಅಕ್ಟೋಬರ್ 1 (CVE-2019-14855) ರಂದು GnuPG ಡೆವಲಪರ್ಗಳಿಗೆ ಸಮಸ್ಯೆಯ ಕುರಿತು ಸೂಚನೆ ನೀಡಲಾಯಿತು ಮತ್ತು ನವೆಂಬರ್ 25 ರಂದು GnuPG 2.2.18 ಬಿಡುಗಡೆಯಲ್ಲಿ ಸಮಸ್ಯಾತ್ಮಕ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಕ್ರಮ ಕೈಗೊಂಡರು - ಜನವರಿ 1 ರ ನಂತರ ರಚಿಸಲಾದ ಎಲ್ಲಾ SHA-19 ಡಿಜಿಟಲ್ ಗುರುತಿನ ಸಹಿಗಳು ಕಳೆದ ವರ್ಷ ಈಗ ತಪ್ಪಾಗಿದೆ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ. PGP ಕೀಗಳ ಮುಖ್ಯ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರಗಳಲ್ಲಿ ಒಂದಾದ CAcert, ಕೀ ಪ್ರಮಾಣೀಕರಣಕ್ಕಾಗಿ ಹೆಚ್ಚು ಸುರಕ್ಷಿತ ಹ್ಯಾಶ್ ಕಾರ್ಯಗಳನ್ನು ಬಳಸಲು ಬದಲಾಯಿಸಲು ಯೋಜಿಸಿದೆ. OpenSSL ಡೆವಲಪರ್ಗಳು, ಹೊಸ ದಾಳಿ ವಿಧಾನದ ಬಗ್ಗೆ ಮಾಹಿತಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಡೀಫಾಲ್ಟ್ ಮೊದಲ ಹಂತದ ಭದ್ರತೆಯಲ್ಲಿ SHA-1 ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ನಿರ್ಧರಿಸಿದ್ದಾರೆ (ಸಂಪರ್ಕ ಸಮಾಲೋಚನಾ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಡಿಜಿಟಲ್ ಸಹಿಗಳಿಗಾಗಿ SHA-1 ಅನ್ನು ಬಳಸಲಾಗುವುದಿಲ್ಲ).
ಮೂಲ: opennet.ru