Onderzoekers van het Franse Nationale Instituut voor Onderzoek in Informatica en Automatisering (INRIA) en de Nanyang Technological University (Singapore) verbeterd aan het SHA-1-algoritme, dat het maken van twee verschillende documenten met dezelfde SHA-1-hashes aanzienlijk vereenvoudigt. De essentie van de methode is om de werking van een volledige botsingsselectie in SHA-1 te verminderen , waarbij een botsing optreedt wanneer bepaalde voorvoegsels aanwezig zijn, ongeacht de rest van de gegevens in de set. Met andere woorden, u kunt twee vooraf gedefinieerde voorvoegsels berekenen en als u de ene aan het ene document en de andere aan een tweede koppelt, zullen de resulterende SHA-1-hashes voor deze bestanden hetzelfde zijn.
Dit type aanval vereist nog steeds enorme berekeningen en de selectie van voorvoegsels blijft ingewikkelder dan de gebruikelijke selectie van botsingen, maar de praktische efficiëntie van het resultaat is aanzienlijk hoger. Terwijl tot nu toe de snelste methode voor het vinden van botsingsvoorvoegsels in SHA-1 277.1 bewerkingen vereiste, reduceert de nieuwe methode het aantal berekeningen tot een bereik van 266.9 tot 269.4. Met dit computerniveau bedragen de geschatte kosten van een aanval minder dan honderdduizend dollar, wat ruim binnen de mogelijkheden van inlichtingendiensten en grote bedrijven ligt. Ter vergelijking: het zoeken naar een reguliere botsing vergt ongeveer 264.7 handelingen.
В De mogelijkheid van Google om verschillende PDF-bestanden te genereren met dezelfde SHA-1-hash een truc waarbij twee documenten in één bestand worden samengevoegd, de zichtbare laag wordt verwisseld en de laagselectiemarkering wordt verschoven naar het gebied waar de botsing plaatsvindt. Met vergelijkbare resourcekosten (Google heeft een jaar lang gewerkt aan een cluster van 1 GPU's om de eerste SHA-110-botsing te vinden), stelt de nieuwe methode je in staat een SHA-1-match te bereiken voor twee willekeurige datasets. Praktisch gezien kunt u TLS-certificaten voorbereiden die verschillende domeinen vermelden, maar dezelfde SHA-1-hashes hebben. Met deze functie kan een gewetenloze certificeringsinstantie een certificaat voor een digitale handtekening maken, dat kan worden gebruikt om fictieve certificaten voor willekeurige domeinen te autoriseren. Het probleem kan ook worden gebruikt om protocollen in gevaar te brengen die afhankelijk zijn van het vermijden van botsingen, zoals TLS, SSH en IPsec.
De voorgestelde strategie voor het zoeken naar voorvoegsels voor botsingen houdt in dat de berekeningen in twee fasen worden verdeeld. In de eerste fase wordt gezocht naar blokken die op de rand van een botsing staan, door willekeurige ketenvariabelen in te bedden in een vooraf gedefinieerde doelverschilset. In de tweede fase, op het niveau van individuele blokken, worden de resulterende ketens van verschillen vergeleken met paren van toestanden die tot botsingen leiden, waarbij gebruik wordt gemaakt van methoden van traditionele botsingsselectie-aanvallen.
Ondanks het feit dat de theoretische mogelijkheid van een aanval op SHA-1 al in 2005 werd bewezen, en in de praktijk de eerste botsing plaatsvond in 2017 is SHA-1 nog steeds in gebruik en wordt gedekt door een aantal standaarden en technologieën (TLS 1.2, Git, enz.). Het belangrijkste doel van het verrichte werk was om nog een overtuigend argument te leveren voor de onmiddellijke stopzetting van het gebruik van SHA-1, vooral in certificaten en digitale handtekeningen.
Bovendien kan worden opgemerkt cryptanalyse van blokcijfers , ontwikkeld door de Amerikaanse NSA en in 2018 als standaard goedgekeurd .
De onderzoekers konden een methode ontwikkelen voor het herstellen van een privésleutel op basis van twee bekende paren platte tekst en cijfertekst. Met beperkte computerbronnen duurt het selecteren van een sleutel enkele uren tot meerdere dagen. Het theoretische succespercentage van de aanval wordt geschat op 0.25, en het praktische succespercentage voor het bestaande prototype is 0.025.
Bron: opennet.ru