Forskere fra det franske statsinstituttet for forskning i informatikk og automatisering (INRIA) og Nanyang Technological University (Singapore) presenterte en angrepsmetode (), som er utpekt som den første praktiske implementeringen av et angrep på SHA-1-algoritmen som kan brukes til å lage falske PGP- og GnuPG-digitale signaturer. Forskerne mener at alle praktiske angrep på MD5 nå kan brukes på SHA-1, selv om de fortsatt krever betydelige ressurser å implementere.
Metoden er basert på å gjennomføre , som lar deg velge tillegg for to vilkårlige datasett, når den er festet, vil utgangen produsere sett som forårsaker en kollisjon, og bruken av SHA-1-algoritmen som vil føre til dannelsen av samme resulterende hash. Med andre ord, for to eksisterende dokumenter kan to komplementer beregnes, og hvis det ene legges til det første dokumentet og det andre til det andre, vil de resulterende SHA-1-hashene for disse filene være de samme.
Den nye metoden skiller seg fra tidligere foreslåtte lignende teknikker ved å øke effektiviteten av kollisjonssøk og demonstrere praktisk anvendelse for å angripe PGP. Spesielt klarte forskerne å klargjøre to offentlige PGP-nøkler av forskjellige størrelser (RSA-8192 og RSA-6144) med forskjellige bruker-IDer og med sertifikater som forårsaker en SHA-1-kollisjon. inkludert offer-ID, og inkludert navn og bilde av angriperen. Dessuten, takket være kollisjonsvalg, hadde nøkkelidentifikasjonssertifikatet, inkludert nøkkelen og angriperens bilde, samme SHA-1-hash som identifikasjonssertifikatet, inkludert offerets nøkkel og navn.
Angriperen kan be om en digital signatur for nøkkelen og bildet fra en tredjeparts sertifiseringsinstans, og deretter overføre den digitale signaturen til offerets nøkkel. Den digitale signaturen forblir korrekt på grunn av kollisjonen og verifiseringen av angriperens nøkkel av en sertifiseringsinstans, som lar angriperen få kontroll over nøkkelen med offerets navn (siden SHA-1-hashen for begge nøklene er den samme). Som et resultat kan angriperen utgi seg for å være offeret og signere ethvert dokument på hennes vegne.
Angrepet er fortsatt ganske kostbart, men er allerede innenfor midlene til etterretningstjenester og store selskaper. For et enkelt kollisjonsvalg ved bruk av en billigere NVIDIA GTX 970 GPU var kostnadene 11 tusen dollar, og for et kollisjonsvalg med et gitt prefiks - 45 tusen dollar (til sammenligning, i 2012, var kostnadene for kollisjonsvalg i SHA-1 estimert til 2 millioner dollar, og i 2015 - 700 tusen). For å utføre et praktisk angrep på PGP, tok det to måneder med databehandling ved bruk av 900 NVIDIA GTX 1060 GPUer, og leie av disse kostet forskerne 75 XNUMX dollar.
Kollisjonsdeteksjonsmetoden foreslått av forskerne er omtrent 10 ganger mer effektiv enn tidligere prestasjoner - kompleksitetsnivået for kollisjonsberegninger ble redusert til 261.2 operasjoner, i stedet for 264.7, og kollisjoner med et gitt prefiks til 263.4 operasjoner i stedet for 267.1. Forskerne anbefaler å bytte fra SHA-1 til å bruke SHA-256 eller SHA-3 så snart som mulig, da de spår at kostnadene for et angrep vil falle til $2025 10 innen XNUMX.
GnuPG-utviklerne ble varslet om problemet 1. oktober (CVE-2019-14855) og iverksatte tiltak for å blokkere de problematiske sertifikatene 25. november i utgivelsen av GnuPG 2.2.18 - alle SHA-1 digitale identitetssignaturer opprettet etter 19. januar av fjoråret er nå anerkjent som feil. CAcert, en av de viktigste sertifiseringsmyndighetene for PGP-nøkler, planlegger å bytte til å bruke sikrere hash-funksjoner for nøkkelsertifisering. OpenSSL-utviklerne, som svar på informasjon om en ny angrepsmetode, bestemte seg for å deaktivere SHA-1 på standard første sikkerhetsnivå (SHA-1 kan ikke brukes for sertifikater og digitale signaturer under tilkoblingsforhandlingsprosessen).
Kilde: opennet.ru