ਫ੍ਰੈਂਚ ਸਟੇਟ ਇੰਸਟੀਚਿਊਟ ਫਾਰ ਰਿਸਰਚ ਇਨ ਇਨਫੋਰਮੈਟਿਕਸ ਐਂਡ ਆਟੋਮੇਸ਼ਨ (INRIA) ਅਤੇ ਨਾਨਯਾਂਗ ਟੈਕਨੋਲੋਜੀਕਲ ਯੂਨੀਵਰਸਿਟੀ (ਸਿੰਗਾਪੁਰ) ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਮਲਾ ਕਰਨ ਦਾ ਤਰੀਕਾ ਪੇਸ਼ ਕੀਤਾ।
ਵਿਧੀ ਨੂੰ ਪੂਰਾ ਕਰਨ 'ਤੇ ਆਧਾਰਿਤ ਹੈ
ਨਵੀਂ ਵਿਧੀ ਟੱਕਰ ਖੋਜ ਦੀ ਕੁਸ਼ਲਤਾ ਨੂੰ ਵਧਾ ਕੇ ਅਤੇ ਪੀਜੀਪੀ 'ਤੇ ਹਮਲਾ ਕਰਨ ਲਈ ਵਿਹਾਰਕ ਉਪਯੋਗ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਕੇ ਪਹਿਲਾਂ ਪ੍ਰਸਤਾਵਿਤ ਸਮਾਨ ਤਕਨੀਕਾਂ ਤੋਂ ਵੱਖਰੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਖੋਜਕਰਤਾ ਵੱਖ-ਵੱਖ ਉਪਭੋਗਤਾ ID ਅਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੇ ਨਾਲ ਵੱਖ-ਵੱਖ ਆਕਾਰਾਂ (RSA-8192 ਅਤੇ RSA-6144) ਦੀਆਂ ਦੋ PGP ਜਨਤਕ ਕੁੰਜੀਆਂ ਤਿਆਰ ਕਰਨ ਦੇ ਯੋਗ ਸਨ ਜੋ SHA-1 ਟੱਕਰ ਦਾ ਕਾਰਨ ਬਣਦੇ ਹਨ।
ਹਮਲਾਵਰ ਕਿਸੇ ਤੀਜੀ-ਧਿਰ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਤੋਂ ਆਪਣੀ ਕੁੰਜੀ ਅਤੇ ਚਿੱਤਰ ਲਈ ਡਿਜੀਟਲ ਦਸਤਖਤ ਦੀ ਬੇਨਤੀ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਫਿਰ ਪੀੜਤ ਦੀ ਕੁੰਜੀ ਲਈ ਡਿਜੀਟਲ ਦਸਤਖਤ ਟ੍ਰਾਂਸਫਰ ਕਰ ਸਕਦਾ ਹੈ। ਇੱਕ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਦੁਆਰਾ ਹਮਲਾਵਰ ਦੀ ਕੁੰਜੀ ਦੀ ਟੱਕਰ ਅਤੇ ਤਸਦੀਕ ਦੇ ਕਾਰਨ ਡਿਜੀਟਲ ਦਸਤਖਤ ਸਹੀ ਰਹਿੰਦੇ ਹਨ, ਜੋ ਹਮਲਾਵਰ ਨੂੰ ਪੀੜਤ ਦੇ ਨਾਮ ਨਾਲ ਕੁੰਜੀ ਦਾ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ (ਕਿਉਂਕਿ ਦੋਨਾਂ ਕੁੰਜੀਆਂ ਲਈ SHA-1 ਹੈਸ਼ ਇੱਕੋ ਹੈ)। ਨਤੀਜੇ ਵਜੋਂ, ਹਮਲਾਵਰ ਪੀੜਤ ਦੀ ਨਕਲ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਉਸਦੀ ਤਰਫੋਂ ਕਿਸੇ ਵੀ ਦਸਤਾਵੇਜ਼ 'ਤੇ ਦਸਤਖਤ ਕਰ ਸਕਦਾ ਹੈ।
ਹਮਲਾ ਅਜੇ ਵੀ ਕਾਫ਼ੀ ਮਹਿੰਗਾ ਹੈ, ਪਰ ਪਹਿਲਾਂ ਹੀ ਖੁਫੀਆ ਸੇਵਾਵਾਂ ਅਤੇ ਵੱਡੀਆਂ ਕਾਰਪੋਰੇਸ਼ਨਾਂ ਲਈ ਕਾਫ਼ੀ ਕਿਫਾਇਤੀ ਹੈ। ਇੱਕ ਸਸਤਾ NVIDIA GTX 970 GPU ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਸਧਾਰਨ ਟੱਕਰ ਦੀ ਚੋਣ ਲਈ, ਲਾਗਤਾਂ 11 ਹਜ਼ਾਰ ਡਾਲਰ ਸਨ, ਅਤੇ ਇੱਕ ਦਿੱਤੇ ਅਗੇਤਰ ਨਾਲ ਟੱਕਰ ਦੀ ਚੋਣ ਲਈ - 45 ਹਜ਼ਾਰ ਡਾਲਰ (ਤੁਲਨਾ ਲਈ, 2012 ਵਿੱਚ, SHA-1 ਵਿੱਚ ਟੱਕਰ ਦੀ ਚੋਣ ਲਈ ਖਰਚੇ ਸਨ। ਅਨੁਮਾਨਿਤ 2 ਮਿਲੀਅਨ ਡਾਲਰ, ਅਤੇ 2015 ਵਿੱਚ - 700 ਹਜ਼ਾਰ). PGP 'ਤੇ ਅਮਲੀ ਹਮਲਾ ਕਰਨ ਲਈ, 900 NVIDIA GTX 1060 GPUs ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕੰਪਿਊਟਿੰਗ ਦੇ ਦੋ ਮਹੀਨਿਆਂ ਦਾ ਸਮਾਂ ਲੱਗਾ, ਜਿਸਦਾ ਕਿਰਾਇਆ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ $75 ਦਾ ਖਰਚਾ ਆਇਆ।
ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪ੍ਰਸਤਾਵਿਤ ਟੱਕਰ ਖੋਜ ਵਿਧੀ ਪਿਛਲੀਆਂ ਪ੍ਰਾਪਤੀਆਂ ਨਾਲੋਂ ਲਗਭਗ 10 ਗੁਣਾ ਵਧੇਰੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹੈ - ਟੱਕਰ ਦੀ ਗਣਨਾ ਦੀ ਗੁੰਝਲਤਾ ਦਾ ਪੱਧਰ 261.2 ਦੀ ਬਜਾਏ 264.7 ਓਪਰੇਸ਼ਨਾਂ ਤੱਕ ਘਟਾ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਅਤੇ 263.4 ਦੀ ਬਜਾਏ 267.1 ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਦਿੱਤੇ ਅਗੇਤਰ ਨਾਲ ਟਕਰਾਅ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜਿੰਨੀ ਜਲਦੀ ਹੋ ਸਕੇ SHA-1 ਤੋਂ SHA-256 ਜਾਂ SHA-3 ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਹੈ, ਕਿਉਂਕਿ ਉਹ ਭਵਿੱਖਬਾਣੀ ਕਰਦੇ ਹਨ ਕਿ ਹਮਲੇ ਦੀ ਲਾਗਤ 2025 ਤੱਕ $10 ਤੱਕ ਘੱਟ ਜਾਵੇਗੀ।
GnuPG ਡਿਵੈਲਪਰਾਂ ਨੂੰ 1 ਅਕਤੂਬਰ (CVE-2019-14855) ਨੂੰ ਸਮੱਸਿਆ ਬਾਰੇ ਸੂਚਿਤ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ 25 ਨਵੰਬਰ ਨੂੰ GnuPG 2.2.18 ਦੀ ਰਿਲੀਜ਼ ਵਿੱਚ ਸਮੱਸਿਆ ਵਾਲੇ ਸਰਟੀਫਿਕੇਟਾਂ ਨੂੰ ਬਲਾਕ ਕਰਨ ਲਈ ਕਾਰਵਾਈ ਕੀਤੀ - 1 ਜਨਵਰੀ ਤੋਂ ਬਾਅਦ ਬਣਾਏ ਗਏ ਸਾਰੇ SHA-19 ਡਿਜੀਟਲ ਪਛਾਣ ਦਸਤਖਤ। ਪਿਛਲੇ ਸਾਲ ਨੂੰ ਹੁਣ ਗਲਤ ਮੰਨਿਆ ਗਿਆ ਹੈ। CAcert, PGP ਕੁੰਜੀਆਂ ਲਈ ਮੁੱਖ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀਆਂ ਵਿੱਚੋਂ ਇੱਕ, ਕੁੰਜੀ ਪ੍ਰਮਾਣੀਕਰਨ ਲਈ ਵਧੇਰੇ ਸੁਰੱਖਿਅਤ ਹੈਸ਼ ਫੰਕਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। OpenSSL ਡਿਵੈਲਪਰਾਂ ਨੇ, ਇੱਕ ਨਵੀਂ ਹਮਲੇ ਵਿਧੀ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇ ਜਵਾਬ ਵਿੱਚ, ਸੁਰੱਖਿਆ ਦੇ ਡਿਫੌਲਟ ਪਹਿਲੇ ਪੱਧਰ 'ਤੇ SHA-1 ਨੂੰ ਅਯੋਗ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ (SHA-1 ਨੂੰ ਕੁਨੈਕਸ਼ਨ ਗੱਲਬਾਤ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਸਰਟੀਫਿਕੇਟਾਂ ਅਤੇ ਡਿਜੀਟਲ ਦਸਤਖਤਾਂ ਲਈ ਨਹੀਂ ਵਰਤਿਆ ਜਾ ਸਕਦਾ)।
ਸਰੋਤ: opennet.ru