Pesquisadores do Instituto Estatal Francês de Pesquisa em Informática e Automação (INRIA) e da Universidade Tecnológica de Nanyang (Singapura) apresentaram um método de ataque (), que é apontado como a primeira implementação prática de um ataque ao algoritmo SHA-1 que pode ser usado para criar assinaturas digitais PGP e GnuPG falsas. Os pesquisadores acreditam que todos os ataques práticos ao MD5 podem agora ser aplicados ao SHA-1, embora ainda exijam recursos significativos para serem implementados.
O método baseia-se na realização , que permite selecionar adições para dois conjuntos de dados arbitrários, quando anexado, a saída produzirá conjuntos causando uma colisão, cuja aplicação do algoritmo SHA-1 levará à formação do mesmo hash resultante. Em outras palavras, para dois documentos existentes, dois complementos podem ser calculados, e se um for anexado ao primeiro documento e o outro ao segundo, os hashes SHA-1 resultantes para esses arquivos serão os mesmos.
O novo método difere de técnicas similares propostas anteriormente por aumentar a eficiência da busca de colisões e demonstrar aplicação prática para atacar PGP. Em particular, os investigadores conseguiram preparar duas chaves públicas PGP de tamanhos diferentes (RSA-8192 e RSA-6144) com IDs de utilizador diferentes e com certificados que causam uma colisão SHA-1. incluiu o ID da vítima e incluiu o nome e a imagem do invasor. Além disso, graças à seleção de colisão, o certificado de identificação da chave, incluindo a chave e a imagem do atacante, tinha o mesmo hash SHA-1 que o certificado de identificação, incluindo a chave e o nome da vítima.
O invasor pode solicitar uma assinatura digital para sua chave e imagem de uma autoridade de certificação terceirizada e, em seguida, transferir a assinatura digital para a chave da vítima. A assinatura digital permanece correta devido à colisão e verificação da chave do invasor por uma autoridade certificadora, o que permite ao invasor obter o controle da chave com o nome da vítima (já que o hash SHA-1 para ambas as chaves é o mesmo). Como resultado, o invasor pode se passar pela vítima e assinar qualquer documento em seu nome.
O ataque ainda é bastante caro, mas já bastante acessível para serviços de inteligência e grandes corporações. Para uma seleção de colisão simples usando uma GPU NVIDIA GTX 970 mais barata, os custos foram de 11 mil dólares, e para uma seleção de colisão com um determinado prefixo - 45 mil dólares (para comparação, em 2012, os custos para seleção de colisão em SHA-1 foram estimado em 2 milhões de dólares, e em 2015 - 700 mil). Para realizar um ataque prático ao PGP, foram necessários dois meses de computação usando 900 GPUs NVIDIA GTX 1060, cujo aluguel custou aos pesquisadores US$ 75 mil.
O método de detecção de colisão proposto pelos pesquisadores é aproximadamente 10 vezes mais eficaz do que as conquistas anteriores - o nível de complexidade dos cálculos de colisão foi reduzido para 261.2 operações, em vez de 264.7, e as colisões com um determinado prefixo para 263.4 operações em vez de 267.1. Os pesquisadores recomendam mudar do SHA-1 para o SHA-256 ou SHA-3 o mais rápido possível, pois prevêem que o custo de um ataque cairá para US$ 2025 até 10.
Os desenvolvedores do GnuPG foram notificados do problema em 1º de outubro (CVE-2019-14855) e tomaram medidas para bloquear os certificados problemáticos em 25 de novembro no lançamento do GnuPG 2.2.18 – todas as assinaturas de identidade digital SHA-1 criadas após 19 de janeiro de ano passado são agora reconhecidas como incorretas. A CAcert, uma das principais autoridades certificadoras de chaves PGP, planeja passar a usar funções hash mais seguras para certificação de chaves. Os desenvolvedores do OpenSSL, em resposta às informações sobre um novo método de ataque, decidiram desabilitar o SHA-1 no primeiro nível de segurança padrão (o SHA-1 não pode ser usado para certificados e assinaturas digitais durante o processo de negociação de conexão).
Fonte: opennet.ru