Forskere fra det franske nasjonale instituttet for forskning innen informatikk og automatisering (INRIA) og Nanyang Technological University (Singapore) forbedret til SHA-1-algoritmen, som i stor grad forenkler opprettelsen av to forskjellige dokumenter med samme SHA-1-hash. Essensen av metoden er å redusere driften av et fullt kollisjonsvalg i SHA-1 til , der en kollisjon oppstår når visse prefikser er til stede, uavhengig av resten av dataene i settet. Med andre ord, du kan beregne to forhåndsdefinerte prefikser, og hvis du legger ett til ett dokument og det andre til et andre, vil de resulterende SHA-1-hashene for disse filene være de samme.
Denne typen angrep krever fortsatt enorme beregninger, og valget av prefikser er fortsatt mer komplisert enn det vanlige utvalget av kollisjoner, men den praktiske effektiviteten til resultatet er betydelig høyere. Mens den til nå raskeste metoden for å finne kollisjonsprefikser i SHA-1 krevde 277.1 operasjoner, reduserer den nye metoden antall beregninger til et område fra 266.9 til 269.4. Med dette nivået av databehandling er den estimerte kostnaden for et angrep mindre enn hundre tusen dollar, som er godt innenfor etterretningsbyråers og store selskapers midler. Til sammenligning krever søk etter en vanlig kollisjon omtrent 264.7 operasjoner.
В Googles evne til å generere forskjellige PDF-filer med samme SHA-1-hash et triks som involverer å slå sammen to dokumenter til én fil, bytte det synlige laget og flytte lagvalgmerket til området der kollisjonen oppstår. Med lignende ressurskostnader (Google brukte et år med databehandling på en klynge med 1 GPUer for å finne den første SHA-110-kollisjonen), lar den nye metoden deg oppnå en SHA-1-match for to vilkårlige datasett. På den praktiske siden kan du utarbeide TLS-sertifikater som nevner forskjellige domener, men som har samme SHA-1-hash. Denne funksjonen lar en skruppelløs sertifiseringsinstans opprette et sertifikat for en digital signatur, som kan brukes til å autorisere fiktive sertifikater for vilkårlige domener. Problemet kan også brukes til å kompromittere protokoller som er avhengige av å unngå kollisjoner, for eksempel TLS, SSH og IPsec.
Den foreslåtte strategien for å søke prefikser for kollisjoner innebærer å dele beregningene i to trinn. Det første trinnet søker etter blokker som er på randen av en kollisjon ved å bygge inn tilfeldige kjedevariabler i et forhåndsdefinert måldifferansesett. På det andre trinnet, på nivået til individuelle blokker, sammenlignes de resulterende forskjellskjedene med par av tilstander som fører til kollisjoner, ved å bruke metoder for tradisjonelle kollisjonsangrep.
Til tross for at den teoretiske muligheten for et angrep på SHA-1 ble bevist tilbake i 2005, og i praksis var den første kollisjonen i 2017 er SHA-1 fortsatt i bruk og dekkes av noen standarder og teknologier (TLS 1.2, Git, etc.). Hovedformålet med arbeidet som ble gjort var å gi enda et overbevisende argument for umiddelbar opphør av bruken av SHA-1, spesielt i sertifikater og digitale signaturer.
I tillegg kan det bemerkes kryptanalyse av blokkchiffer , utviklet av US NSA og godkjent som standard i 2018 .
Forskerne var i stand til å utvikle en metode for å gjenopprette en privat nøkkel basert på to kjente par klartekst og chiffertekst. Med begrensede dataressurser tar det å velge en nøkkel fra flere timer til flere dager. Den teoretiske suksessraten for angrepet er estimert til 0.25, og den praktiske for den eksisterende prototypen er 0.025.
Kilde: opennet.ru