Forskere fra det franske statsinstituttet for forskning i informatikk og automatisering (INRIA) og Nanyang Technological University (Singapore) presenterte en angrepsmetode
Metoden er basert på å gjennomføre
Den nye metoden skiller seg fra tidligere foreslåtte lignende teknikker ved å øke effektiviteten av kollisjonssøk og demonstrere praktisk anvendelse for å angripe PGP. Spesielt klarte forskerne å klargjøre to offentlige PGP-nøkler av forskjellige størrelser (RSA-8192 og RSA-6144) med forskjellige bruker-IDer og med sertifikater som forårsaker en SHA-1-kollisjon.
Angriperen kan be om en digital signatur for nøkkelen og bildet fra en tredjeparts sertifiseringsinstans, og deretter overføre den digitale signaturen til offerets nøkkel. Den digitale signaturen forblir korrekt på grunn av kollisjonen og verifiseringen av angriperens nøkkel av en sertifiseringsinstans, som lar angriperen få kontroll over nøkkelen med offerets navn (siden SHA-1-hashen for begge nøklene er den samme). Som et resultat kan angriperen utgi seg for å være offeret og signere ethvert dokument på hennes vegne.
Angrepet er fortsatt ganske kostbart, men er allerede innenfor midlene til etterretningstjenester og store selskaper. For et enkelt kollisjonsvalg ved bruk av en billigere NVIDIA GTX 970 GPU var kostnadene 11 tusen dollar, og for et kollisjonsvalg med et gitt prefiks - 45 tusen dollar (til sammenligning, i 2012, var kostnadene for kollisjonsvalg i SHA-1 estimert til 2 millioner dollar, og i 2015 - 700 tusen). For å utføre et praktisk angrep på PGP, tok det to måneder med databehandling ved bruk av 900 NVIDIA GTX 1060 GPUer, og leie av disse kostet forskerne 75 XNUMX dollar.
Kollisjonsdeteksjonsmetoden foreslått av forskerne er omtrent 10 ganger mer effektiv enn tidligere prestasjoner - kompleksitetsnivået for kollisjonsberegninger ble redusert til 261.2 operasjoner, i stedet for 264.7, og kollisjoner med et gitt prefiks til 263.4 operasjoner i stedet for 267.1. Forskerne anbefaler å bytte fra SHA-1 til å bruke SHA-256 eller SHA-3 så snart som mulig, da de spår at kostnadene for et angrep vil falle til $2025 10 innen XNUMX.
GnuPG-utviklerne ble varslet om problemet 1. oktober (CVE-2019-14855) og iverksatte tiltak for å blokkere de problematiske sertifikatene 25. november i utgivelsen av GnuPG 2.2.18 - alle SHA-1 digitale identitetssignaturer opprettet etter 19. januar av fjoråret er nå anerkjent som feil. CAcert, en av de viktigste sertifiseringsmyndighetene for PGP-nøkler, planlegger å bytte til å bruke sikrere hash-funksjoner for nøkkelsertifisering. OpenSSL-utviklerne, som svar på informasjon om en ny angrepsmetode, bestemte seg for å deaktivere SHA-1 på standard første sikkerhetsnivå (SHA-1 kan ikke brukes for sertifikater og digitale signaturer under tilkoblingsforhandlingsprosessen).
Kilde: opennet.ru