Onderzoekers van het Franse Staatsinstituut voor Onderzoek in Informatica en Automatisering (INRIA) en de Nanyang Technologische Universiteit (Singapore) presenteerden een aanvalsmethode (), dat wordt aangeprezen als de eerste praktische implementatie van een aanval op het SHA-1-algoritme dat kan worden gebruikt om valse PGP- en GnuPG-digitale handtekeningen te creëren. De onderzoekers zijn van mening dat alle praktische aanvallen op MD5 nu kunnen worden toegepast op SHA-1, hoewel ze nog steeds aanzienlijke middelen vereisen om te implementeren.
De werkwijze is gebaseerd op uitvoeren , waarmee u toevoegingen voor twee willekeurige datasets kunt selecteren, zal de uitvoer, indien gekoppeld, sets produceren die een botsing veroorzaken, waarbij de toepassing van het SHA-1-algoritme zal leiden tot de vorming van dezelfde resulterende hash. Met andere woorden, voor twee bestaande documenten kunnen twee complementen worden berekend, en als de ene wordt toegevoegd aan het eerste document en de andere aan het tweede, zullen de resulterende SHA-1-hashes voor deze bestanden hetzelfde zijn.
De nieuwe methode verschilt van eerder voorgestelde vergelijkbare technieken door de efficiëntie van het zoeken naar botsingen te vergroten en praktische toepassingen voor het aanvallen van PGP te demonstreren. In het bijzonder konden de onderzoekers twee openbare PGP-sleutels van verschillende groottes (RSA-8192 en RSA-6144) voorbereiden met verschillende gebruikers-ID's en met certificaten die een SHA-1-botsing veroorzaken. inclusief de slachtoffer-ID, en bevatte de naam en afbeelding van de aanvaller. Bovendien had het sleutelidentificerende certificaat, inclusief de sleutel en de afbeelding van de aanvaller, dankzij botsingsselectie dezelfde SHA-1-hash als het identificatiecertificaat, inclusief de sleutel en de naam van het slachtoffer.
De aanvaller kan bij een externe certificeringsinstantie een digitale handtekening voor zijn sleutel en afbeelding aanvragen en vervolgens de digitale handtekening voor de sleutel van het slachtoffer overdragen. De digitale handtekening blijft correct vanwege de botsing en verificatie van de sleutel van de aanvaller door een certificeringsinstantie, waardoor de aanvaller controle kan krijgen over de sleutel met de naam van het slachtoffer (aangezien de SHA-1-hash voor beide sleutels hetzelfde is). Als gevolg hiervan kan de aanvaller zich voordoen als het slachtoffer en namens haar elk document ondertekenen.
De aanval is nog steeds behoorlijk kostbaar, maar al redelijk betaalbaar voor inlichtingendiensten en grote bedrijven. Voor een eenvoudige botsingsselectie met een goedkopere NVIDIA GTX 970 GPU waren de kosten 11 duizend dollar, en voor een botsingsselectie met een bepaald voorvoegsel - 45 duizend dollar (ter vergelijking: in 2012 werden de kosten voor botsingsselectie in SHA-1 geschat op 2 miljoen dollar, en in 2015 - 700 duizend). Om een praktische aanval op PGP uit te voeren, was er twee maanden computergebruik nodig met behulp van 900 NVIDIA GTX 1060 GPU's, waarvan de huur de onderzoekers $75 kostte.
De door de onderzoekers voorgestelde methode voor botsingsdetectie is ongeveer 10 keer effectiever dan eerdere prestaties: het complexiteitsniveau van botsingsberekeningen werd teruggebracht tot 261.2 bewerkingen in plaats van 264.7, en botsingen met een bepaald voorvoegsel tot 263.4 bewerkingen in plaats van 267.1. De onderzoekers raden aan om zo snel mogelijk over te stappen van SHA-1 naar het gebruik van SHA-256 of SHA-3, omdat ze voorspellen dat de kosten van een aanval in 2025 zullen dalen tot $10.
De GnuPG-ontwikkelaars werden op 1 oktober op de hoogte gebracht van het probleem (CVE-2019-14855) en ondernamen actie om de problematische certificaten op 25 november te blokkeren in de release van GnuPG 2.2.18 - alle SHA-1 digitale identiteitshandtekeningen gemaakt na 19 januari 1. van vorig jaar worden nu als onjuist beschouwd. CAcert, een van de belangrijkste certificeringsinstanties voor PGP-sleutels, is van plan over te stappen op het gebruik van veiligere hash-functies voor sleutelcertificering. De OpenSSL-ontwikkelaars hebben, als reactie op informatie over een nieuwe aanvalsmethode, besloten SHA-1 uit te schakelen op het standaard eerste beveiligingsniveau (SHA-XNUMX kan niet worden gebruikt voor certificaten en digitale handtekeningen tijdens het verbindingsonderhandelingsproces).
Bron: opennet.ru