Pētnieki no Francijas Valsts informātikas un automatizācijas pētniecības institūta (INRIA) un Nanjangas Tehnoloģiskās universitātes (Singapūra) iepazīstināja ar uzbrukuma metodi. (), kas tiek reklamēta kā pirmā praktiskā uzbrukuma SHA-1 algoritmam, ko var izmantot viltus PGP un GnuPG ciparparakstu izveidošanai. Pētnieki uzskata, ka visus praktiskos uzbrukumus MD5 tagad var attiecināt uz SHA-1, lai gan to ieviešanai joprojām ir nepieciešami ievērojami resursi.
Metodes pamatā ir veikšana , kas ļauj atlasīt papildinājumus divām patvaļīgām datu kopām, pievienojot, izvade veidos kopas, kas izraisa sadursmi, kuru SHA-1 algoritma pielietošana novedīs pie viena un tā paša rezultāta jaucēja veidošanās. Citiem vārdiem sakot, diviem esošiem dokumentiem var aprēķināt divus papildinājumus, un, ja viens ir pievienots pirmajam dokumentam, bet otrs otrajam, iegūtās SHA-1 jaucējvērtības šiem failiem būs vienādas.
Jaunā metode atšķiras no iepriekš piedāvātajām līdzīgām metodēm, palielinot sadursmju meklēšanas efektivitāti un demonstrējot praktisku pielietojumu uzbrukumam PGP. Jo īpaši pētnieki varēja sagatavot divas dažāda lieluma PGP publiskās atslēgas (RSA-8192 un RSA-6144) ar dažādiem lietotāja ID un sertifikātiem, kas izraisa SHA-1 sadursmi. iekļauts upura ID, un iekļauts uzbrucēja vārds un attēls. Turklāt, pateicoties sadursmes atlasei, atslēgas identifikācijas sertifikātam, tostarp atslēgai un uzbrucēja attēlam, bija tāds pats SHA-1 jaucējkods kā identifikācijas sertifikātam, tostarp upura atslēgai un vārdam.
Uzbrucējs varētu pieprasīt ciparparakstu savai atslēgai un attēlam no trešās puses sertifikācijas iestādes un pēc tam pārsūtīt cietušā atslēgas ciparparakstu. Ciparparaksts paliek pareizs, jo sertifikācijas iestāde saduras un pārbauda uzbrucēja atslēgu, kas ļauj uzbrucējam iegūt kontroli pār atslēgu ar upura vārdu (jo SHA-1 jaucējkods abām atslēgām ir vienāds). Rezultātā uzbrucējs var uzdoties par upuri un viņas vārdā parakstīt jebkuru dokumentu.
Uzbrukums joprojām ir diezgan dārgs, taču tas jau ir diezgan pieņemams izlūkdienestiem un lielām korporācijām. Vienkāršai sadursmes atlasei, izmantojot lētāku NVIDIA GTX 970 GPU, izmaksas bija 11 tūkstoši dolāru, bet sadursmes atlasei ar noteiktu prefiksu - 45 tūkstoši dolāru (salīdzinājumam 2012. gadā tika aprēķinātas sadursmes atlases izmaksas SHA-1. 2 miljonu dolāru apmērā, bet 2015. gadā - 700 tūkstošus). Lai veiktu praktisku uzbrukumu PGP, bija nepieciešami divi mēneši skaitļošanas, izmantojot 900 NVIDIA GTX 1060 GPU, kuru noma pētniekiem izmaksāja 75 XNUMX USD.
Pētnieku piedāvātā sadursmju noteikšanas metode ir aptuveni 10 reizes efektīvāka par iepriekšējiem sasniegumiem - sadursmju aprēķinu sarežģītības pakāpe samazināta līdz 261.2 operācijām, nevis 264.7, bet sadursmes ar doto prefiksu līdz 263.4 operācijām, nevis 267.1. Pētnieki iesaka pēc iespējas ātrāk pāriet no SHA-1 uz SHA-256 vai SHA-3 lietošanu, jo viņi prognozē, ka uzbrukuma izmaksas līdz 2025. gadam samazināsies līdz 10 XNUMX USD.
GnuPG izstrādātāji tika informēti par problēmu 1. oktobrī (CVE-2019-14855), un viņi 25. novembrī veica darbības, lai bloķētu problemātiskos sertifikātus GnuPG 2.2.18 laidienā — visi SHA-1 digitālās identitātes paraksti, kas izveidoti pēc 19. janvāra pagājušo gadu tagad ir atzīti par nepareiziem. CAcert, viena no galvenajām PGP atslēgu sertifikācijas iestādēm, plāno pāriet uz drošāku jaucējfunkciju izmantošanu atslēgu sertifikācijai. OpenSSL izstrādātāji, reaģējot uz informāciju par jaunu uzbrukuma metodi, nolēma atspējot SHA-1 noklusējuma pirmajā drošības līmenī (SHA-1 nevar izmantot sertifikātiem un ciparparakstiem savienojuma sarunu procesā).
Avots: opennet.ru