Naukowcy z Francuskiego Narodowego Instytutu Badań nad Informatyką i Automatyką (INRIA) oraz Uniwersytetu Technologicznego w Nanyang (Singapur) ulepszony do algorytmu SHA-1, co znacznie upraszcza tworzenie dwóch różnych dokumentów z tymi samymi skrótami SHA-1. Istotą metody jest ograniczenie operacji pełnej selekcji kolizji w SHA-1 do , w którym do kolizji dochodzi w przypadku obecności określonych przedrostków, niezależnie od reszty danych w zestawie. Innymi słowy, możesz obliczyć dwa predefiniowane prefiksy i jeśli dołączysz jeden do jednego dokumentu, a drugi do drugiego, wynikowe skróty SHA-1 dla tych plików będą takie same.
Ten rodzaj ataku nadal wymaga ogromnych obliczeń, a wybór przedrostków pozostaje bardziej skomplikowany niż zwykły wybór kolizji, ale praktyczna skuteczność wyniku jest znacznie wyższa. O ile do tej pory najszybsza metoda wyszukiwania przedrostków kolizyjnych w SHA-1 wymagała 277.1 operacji, nowa metoda ogranicza liczbę obliczeń do zakresu od 266.9 do 269.4. Przy tym poziomie obliczeń szacowany koszt ataku wynosi mniej niż sto tysięcy dolarów, co mieści się w granicach możliwości agencji wywiadowczych i dużych korporacji. Dla porównania poszukiwanie zwykłej kolizji wymaga około 264.7 operacji.
В Możliwość generowania przez Google różnych plików PDF z tym samym skrótem SHA-1 sztuczka polegająca na połączeniu dwóch dokumentów w jeden plik, przełączeniu widocznej warstwy i przesunięciu znacznika wyboru warstwy w miejsce, w którym występuje kolizja. Przy podobnych kosztach zasobów (Google spędził rok na obliczeniach w klastrze 1 procesorów graficznych, aby znaleźć pierwszą kolizję SHA-110), nowa metoda pozwala uzyskać dopasowanie SHA-1 dla dwóch dowolnych zestawów danych. Z praktycznego punktu widzenia możesz przygotować certyfikaty TLS, które wymieniają różne domeny, ale mają te same skróty SHA-1. Ta funkcja umożliwia pozbawionemu skrupułów urzędowi certyfikacji utworzenie certyfikatu dla podpisu cyfrowego, który może zostać wykorzystany do autoryzacji fikcyjnych certyfikatów dla dowolnych domen. Problem można również wykorzystać do naruszenia bezpieczeństwa protokołów polegających na unikaniu kolizji, takich jak TLS, SSH i IPsec.
Proponowana strategia wyszukiwania przedrostków pod kątem kolizji polega na podzieleniu obliczeń na dwa etapy. Pierwszy etap wyszukuje bloki znajdujące się na granicy kolizji poprzez osadzanie losowych zmiennych łańcuchowych we wcześniej zdefiniowanym docelowym zestawie różnic. W drugim etapie, na poziomie poszczególnych bloków, powstałe łańcuchy różnic porównywane są z parami stanów prowadzącymi do kolizji, wykorzystując metody tradycyjnych ataków selekcji kolizji.
Pomimo tego, że teoretyczna możliwość ataku na SHA-1 została udowodniona już w 2005 roku, a w praktyce doszło do pierwszej kolizji w 2017 r. SHA-1 jest nadal w użyciu i jest objęty niektórymi standardami i technologiami (TLS 1.2, Git itp.). Głównym celem wykonanej pracy było dostarczenie kolejnego przekonującego argumentu za natychmiastowym zaprzestaniem stosowania SHA-1, zwłaszcza w certyfikatach i podpisach cyfrowych.
Dodatkowo można to zauważyć kryptoanaliza szyfrów blokowych , opracowany przez amerykańską NSA i zatwierdzony jako standard w 2018 roku .
Naukowcom udało się opracować metodę odzyskiwania klucza prywatnego w oparciu o dwie znane pary tekstu jawnego i tekstu zaszyfrowanego. Przy ograniczonych zasobach obliczeniowych wybranie klucza zajmuje od kilku godzin do kilku dni. Teoretyczny wskaźnik powodzenia ataku szacuje się na 0.25, a praktyczny dla istniejącego prototypu na 0.025.
Źródło: opennet.ru