د فرانسې دولتي انسټیټیوټ د معلوماتي او اتومات تحقیق (INRIA) او د نانیانګ ټیکنالوژیک پوهنتون (سینګاپور) څیړونکو د برید میتود وړاندې کړ. ()، کوم چې په SHA-1 الګوریتم باندې د برید د لومړي عملي تطبیق په توګه پیژندل کیږي چې د جعلي PGP او GnuPG ډیجیټل لاسلیکونو جوړولو لپاره کارول کیدی شي. څیړونکي پدې باور دي چې په MD5 ټول عملي بریدونه اوس په SHA-1 کې پلي کیدی شي، که څه هم دوی لاهم د پلي کولو لپاره د پام وړ سرچینو ته اړتیا لري.
میتود د ترسره کولو پر بنسټ والړ دی ، کوم چې تاسو ته اجازه درکوي د دوه خپلسري ډیټا سیټونو لپاره اضافې وټاکئ ، کله چې ضمیمه شي ، محصول به هغه سیټونه تولید کړي چې د ټکر لامل کیږي ، د SHA-1 الګوریتم پلي کول چې د ورته پایله لرونکي هش رامینځته کیدو لامل کیږي. په بل عبارت، د دوو موجوده اسنادو لپاره، دوه تکمیلونه محاسبه کیدی شي، او که یو په لومړي سند کې ضمیمه شي او بل یې دویم ته، د دې فایلونو لپاره د SHA-1 هش پایلې به ورته وي.
نوی میتود د مخکینۍ وړاندیز شوي ورته تخنیکونو څخه توپیر لري د ټکر لټون د موثریت په زیاتولو او د PGP برید لپاره د عملي غوښتنلیک ښودلو سره. په ځانګړې توګه، څیړونکي وتوانیدل چې د مختلفو اندازو دوه PGP عامه کیلي چمتو کړي (RSA-8192 او RSA-6144) د مختلف کارن IDs او سندونو سره چې د SHA-1 ټکر لامل کیږي. د قرباني ID، او شامل دي د برید کوونکي نوم او عکس هم پکې شامل وو. برسېره پردې، د ټکر انتخاب څخه مننه، د کلیدي پیژندنې سند، په شمول د کلیدي او برید کونکي عکس، د پیژندنې سند په څیر ورته SHA-1 هش درلود، په شمول د قرباني کلید او نوم.
برید کوونکی کولی شي د دریمې ډلې تصدیق کولو ادارې څخه د خپلې کیلي او عکس لپاره ډیجیټل لاسلیک غوښتنه وکړي ، او بیا د قرباني کیلي لپاره ډیجیټل لاسلیک لیږدوي. ډیجیټل لاسلیک د تصدیق کولو ادارې لخوا د برید کونکي کیلي سره د ټکر او تایید له امله سم پاتې کیږي ، کوم چې برید کونکي ته اجازه ورکوي چې د قرباني نوم سره کیلي کنټرول ترلاسه کړي (ځکه چې د دواړو کیلي لپاره SHA-1 هش یو شان دی). د پایلې په توګه، برید کوونکی کولی شي د قرباني نقض کړي او د هغې په استازیتوب کوم سند لاسلیک کړي.
برید لاهم خورا ګران دی ، مګر دمخه د استخباراتي خدماتو او لوی شرکتونو لپاره خورا ارزانه دی. د ارزانه NVIDIA GTX 970 GPU په کارولو سره د ساده ټکر انتخاب لپاره لګښتونه 11 زره ډالر وو، او د ورکړل شوي مخفف سره د ټکر انتخاب لپاره - 45 زره ډالر (د پرتله کولو لپاره، په 2012 کې، په SHA-1 کې د ټکر انتخاب لګښتونه وو. د 2 ملیون ډالرو اټکل شوی، او په 2015 کې - 700 زره). په PGP باندې د عملي برید ترسره کولو لپاره، د 900 NVIDIA GTX 1060 GPUs په کارولو سره د کمپیوټر دوه میاشتې وخت واخیست، چې کرایه یې د څیړونکو $ 75 لګښت لري.
د څیړونکو لخوا وړاندیز شوی د ټکر کشف میتود د تیرو لاسته راوړنو په پرتله نږدې 10 ځله ډیر اغیزمن دی - د ټکر محاسبې پیچلتیا کچه د 261.2 پرځای 264.7 عملیاتو ته راټیټه شوې ، او د 263.4 پرځای 267.1 عملیاتو ته د ورکړل شوي مخکیني سره ټکرونه. څیړونکي وړاندیز کوي چې ژر تر ژره د SHA-1 څخه د SHA-256 یا SHA-3 کارولو ته بدل شي، ځکه چې دوی وړاندوینه کوي چې د برید لګښت به تر 2025 $ 10 ډالرو ته راټیټ شي.
د GnuPG پراختیا کونکو ته د اکتوبر په 1 (CVE-2019-14855) کې د ستونزې په اړه خبر ورکړل شو او د نومبر په 25 د GnuPG 2.2.18 په خپرولو کې یې د ستونزې لرونکي سندونو د بندولو لپاره اقدام وکړ - د SHA-1 ټول ډیجیټل شناخت لاسلیکونه د جنوري 19 څخه وروسته رامینځته شوي. تیر کال اوس د غلط په توګه پیژندل شوي. CAcert، د PGP کیلي لپاره د تصدیق کولو یو له اصلي چارواکو څخه دی، پالن لري چې د کلیدي تصدیق لپاره د ډیرو خوندي هش افعالونو کارولو ته لاړ شي. د OpenSSL پراختیا کونکو، د نوي برید میتود په اړه د معلوماتو په ځواب کې، پریکړه وکړه چې SHA-1 د امنیت په ډیفالټ لومړۍ سطح کې غیر فعال کړي (SHA-1 د ارتباط د خبرو اترو په بهیر کې د سندونو او ډیجیټل لاسلیکونو لپاره نشي کارول کیدی).
سرچینه: opennet.ru