Naukowcy z Francuskiego Państwowego Instytutu Badań Informatyki i Automatyki (INRIA) oraz Uniwersytetu Technologicznego w Nanyang (Singapur) zaprezentowali metodę ataku
Metoda opiera się na przeprowadzaniu
Nowa metoda różni się od wcześniej proponowanych podobnych technik zwiększeniem efektywności wyszukiwania kolizji i wykazaniem praktycznego zastosowania do atakowania PGP. W szczególności badaczom udało się przygotować dwa klucze publiczne PGP o różnych rozmiarach (RSA-8192 i RSA-6144) z różnymi identyfikatorami użytkowników i certyfikatami powodującymi kolizję SHA-1.
Osoba atakująca może zażądać podpisu cyfrowego dla swojego klucza i obrazu od zewnętrznego urzędu certyfikacji, a następnie przekazać podpis cyfrowy dla klucza ofiary. Podpis cyfrowy pozostaje poprawny dzięki kolizji i weryfikacji klucza atakującego przez urząd certyfikacji, co pozwala atakującemu przejąć kontrolę nad kluczem z imieniem ofiary (ponieważ skrót SHA-1 dla obu kluczy jest taki sam). Dzięki temu atakujący może podszyć się pod ofiarę i podpisać w jej imieniu dowolny dokument.
Atak jest nadal dość kosztowny, ale już całkiem przystępny dla służb wywiadowczych i dużych korporacji. Za prostą selekcję kolizji z wykorzystaniem tańszej karty graficznej NVIDIA GTX 970 koszt wyniósł 11 tys. dolarów, a za selekcję kolizji z danym prefiksem – 45 tys. dolarów (dla porównania w 2012 roku oszacowano koszty selekcji kolizji w SHA-1 na poziomie 2 mln dolarów, a w 2015 r. – 700 tys.). Aby przeprowadzić praktyczny atak na PGP, potrzebne były dwa miesiące obliczeń przy użyciu 900 procesorów graficznych NVIDIA GTX 1060, których wypożyczenie kosztowało badaczy 75 XNUMX dolarów.
Zaproponowana przez badaczy metoda wykrywania kolizji jest około 10 razy skuteczniejsza od dotychczasowych osiągnięć - poziom złożoności obliczeń kolizji zmniejszono do 261.2 operacji zamiast 264.7, a kolizji z danym przedrostkiem do 263.4 operacji zamiast 267.1. Badacze zalecają jak najszybsze przejście z SHA-1 na SHA-256 lub SHA-3, ponieważ przewidują, że koszt ataku spadnie do 2025 10 dolarów do XNUMX roku.
Twórcy GnuPG zostali powiadomieni o problemie 1 października (CVE-2019-14855) i 25 listopada podjęli działania mające na celu zablokowanie problematycznych certyfikatów w wydaniu GnuPG 2.2.18 – wszystkie podpisy tożsamości cyfrowej SHA-1 utworzone po 19 stycznia ubiegłego roku są obecnie uznawane za nieprawidłowe. CAcert, jeden z głównych urzędów certyfikacji kluczy PGP, planuje przejść na bezpieczniejsze funkcje skrótu do certyfikacji kluczy. Twórcy OpenSSL w odpowiedzi na informację o nowej metodzie ataku postanowili wyłączyć SHA-1 na domyślnym pierwszym poziomie bezpieczeństwa (SHA-1 nie może być używany do certyfikatów i podpisów cyfrowych podczas procesu negocjacji połączenia).
Źródło: opennet.ru