Naukowcy z Francuskiego Państwowego Instytutu Badań Informatyki i Automatyki (INRIA) oraz Uniwersytetu Technologicznego w Nanyang (Singapur) zaprezentowali metodę ataku (), który jest reklamowany jako pierwsza praktyczna implementacja ataku na algorytm SHA-1, który może zostać wykorzystany do tworzenia fałszywych podpisów cyfrowych PGP i GnuPG. Naukowcy uważają, że wszystkie praktyczne ataki na MD5 można teraz zastosować do SHA-1, chociaż ich wdrożenie nadal wymaga znacznych zasobów.
Metoda opiera się na przeprowadzaniu , który pozwala wybrać dodatki dla dwóch dowolnych zestawów danych, po dołączeniu na wyjściu wygenerowane zostaną zestawy powodujące kolizję, zastosowanie algorytmu SHA-1 dla którego doprowadzi do utworzenia tego samego wynikowego skrótu. Innymi słowy, dla dwóch istniejących dokumentów można obliczyć dwa uzupełnienia i jeśli jedno zostanie dołączone do pierwszego dokumentu, a drugie do drugiego, powstałe skróty SHA-1 dla tych plików będą takie same.
Nowa metoda różni się od wcześniej proponowanych podobnych technik zwiększeniem efektywności wyszukiwania kolizji i wykazaniem praktycznego zastosowania do atakowania PGP. W szczególności badaczom udało się przygotować dwa klucze publiczne PGP o różnych rozmiarach (RSA-8192 i RSA-6144) z różnymi identyfikatorami użytkowników i certyfikatami powodującymi kolizję SHA-1. zawierał identyfikator ofiary oraz zawierało imię i nazwisko oraz wizerunek napastnika. Co więcej, dzięki selekcji kolizyjnej, certyfikat identyfikujący klucz, zawierający klucz i obraz atakującego, miał ten sam skrót SHA-1, co certyfikat identyfikacyjny, zawierający klucz i imię ofiary.
Osoba atakująca może zażądać podpisu cyfrowego dla swojego klucza i obrazu od zewnętrznego urzędu certyfikacji, a następnie przekazać podpis cyfrowy dla klucza ofiary. Podpis cyfrowy pozostaje poprawny dzięki kolizji i weryfikacji klucza atakującego przez urząd certyfikacji, co pozwala atakującemu przejąć kontrolę nad kluczem z imieniem ofiary (ponieważ skrót SHA-1 dla obu kluczy jest taki sam). Dzięki temu atakujący może podszyć się pod ofiarę i podpisać w jej imieniu dowolny dokument.
Atak jest nadal dość kosztowny, ale już całkiem przystępny dla służb wywiadowczych i dużych korporacji. Za prostą selekcję kolizji z wykorzystaniem tańszej karty graficznej NVIDIA GTX 970 koszt wyniósł 11 tys. dolarów, a za selekcję kolizji z danym prefiksem – 45 tys. dolarów (dla porównania w 2012 roku oszacowano koszty selekcji kolizji w SHA-1 na poziomie 2 mln dolarów, a w 2015 r. – 700 tys.). Aby przeprowadzić praktyczny atak na PGP, potrzebne były dwa miesiące obliczeń przy użyciu 900 procesorów graficznych NVIDIA GTX 1060, których wypożyczenie kosztowało badaczy 75 XNUMX dolarów.
Zaproponowana przez badaczy metoda wykrywania kolizji jest około 10 razy skuteczniejsza od dotychczasowych osiągnięć - poziom złożoności obliczeń kolizji zmniejszono do 261.2 operacji zamiast 264.7, a kolizji z danym przedrostkiem do 263.4 operacji zamiast 267.1. Badacze zalecają jak najszybsze przejście z SHA-1 na SHA-256 lub SHA-3, ponieważ przewidują, że koszt ataku spadnie do 2025 10 dolarów do XNUMX roku.
Twórcy GnuPG zostali powiadomieni o problemie 1 października (CVE-2019-14855) i 25 listopada podjęli działania mające na celu zablokowanie problematycznych certyfikatów w wydaniu GnuPG 2.2.18 – wszystkie podpisy tożsamości cyfrowej SHA-1 utworzone po 19 stycznia ubiegłego roku są obecnie uznawane za nieprawidłowe. CAcert, jeden z głównych urzędów certyfikacji kluczy PGP, planuje przejść na bezpieczniejsze funkcje skrótu do certyfikacji kluczy. Twórcy OpenSSL w odpowiedzi na informację o nowej metodzie ataku postanowili wyłączyć SHA-1 na domyślnym pierwszym poziomie bezpieczeństwa (SHA-1 nie może być używany do certyfikatów i podpisów cyfrowych podczas procesu negocjacji połączenia).
Źródło: opennet.ru