Cercetătorii de la Institutul de Stat Francez pentru Cercetare în Informatică și Automatizare (INRIA) și Universitatea Tehnologică Nanyang (Singapore) au prezentat o metodă de atac (), care este prezentată ca prima implementare practică a unui atac asupra algoritmului SHA-1 care poate fi folosit pentru a crea semnături digitale PGP și GnuPG false. Cercetătorii cred că toate atacurile practice asupra MD5 pot fi acum aplicate SHA-1, deși necesită încă resurse semnificative pentru a fi implementate.
Metoda se bazează pe realizarea , care vă permite să selectați adăugări pentru două seturi de date arbitrare, atunci când este atașat, rezultatul va produce seturi care provoacă o coliziune, aplicarea algoritmului SHA-1 pentru care va duce la formarea aceluiași hash rezultat. Cu alte cuvinte, pentru două documente existente, se pot calcula două complemente, iar dacă unul este atașat la primul document și celălalt la al doilea, hashurile SHA-1 rezultate pentru aceste fișiere vor fi aceleași.
Noua metodă diferă de tehnicile similare propuse anterior prin creșterea eficienței căutării coliziunilor și prin demonstrarea aplicației practice pentru atacarea PGP. În special, cercetătorii au reușit să pregătească două chei publice PGP de dimensiuni diferite (RSA-8192 și RSA-6144) cu ID-uri de utilizator diferite și cu certificate care provoacă o coliziune SHA-1. a inclus actul de identitate al victimei și a inclus numele și imaginea atacatorului. În plus, datorită selecției coliziunii, certificatul de identificare a cheii, inclusiv cheia și imaginea atacatorului, avea același hash SHA-1 ca și certificatul de identificare, inclusiv cheia și numele victimei.
Atacatorul ar putea cere o semnătură digitală pentru cheia și imaginea sa de la o autoritate de certificare terță parte și apoi să transfere semnătura digitală pentru cheia victimei. Semnătura digitală rămâne corectă datorită coliziunii și verificării cheii atacatorului de către o autoritate de certificare, ceea ce permite atacatorului să obțină controlul asupra cheii cu numele victimei (deoarece hash-ul SHA-1 pentru ambele chei este același). Drept urmare, atacatorul poate uzurpa identitatea victimei și poate semna orice document în numele ei.
Atacul este încă destul de costisitor, dar deja destul de accesibil pentru serviciile de informații și marile corporații. Pentru o selecție simplă de coliziune folosind un GPU NVIDIA GTX 970 mai ieftin, costurile au fost de 11 mii de dolari, iar pentru o selecție de coliziune cu un prefix dat - 45 de mii de dolari (pentru comparație, în 2012, costurile pentru selecția de coliziune în SHA-1 au fost estimate la 2 milioane de dolari, iar în 2015 - 700 mii). Pentru a realiza un atac practic asupra PGP, a fost nevoie de două luni de calcul folosind 900 de GPU-uri NVIDIA GTX 1060, a căror închiriere a costat cercetătorilor 75 de dolari.
Metoda de detectare a coliziunilor propusă de cercetători este de aproximativ 10 ori mai eficientă decât realizările anterioare - nivelul de complexitate al calculelor de coliziuni a fost redus la 261.2 operații, în loc de 264.7, iar coliziunile cu un prefix dat la 263.4 operații în loc de 267.1. Cercetătorii recomandă trecerea de la SHA-1 la utilizarea SHA-256 sau SHA-3 cât mai curând posibil, deoarece prevăd că costul unui atac va scădea la 2025 USD până în 10.
Dezvoltatorii GnuPG au fost notificați cu privire la problemă pe 1 octombrie (CVE-2019-14855) și au luat măsuri pentru a bloca certificatele problematice pe 25 noiembrie în lansarea GnuPG 2.2.18 - toate semnăturile de identitate digitală SHA-1 create după 19 ianuarie. anul trecut sunt acum recunoscute ca fiind incorecte. CAcert, una dintre principalele autorități de certificare pentru cheile PGP, intenționează să treacă la utilizarea unor funcții hash mai sigure pentru certificarea cheilor. Dezvoltatorii OpenSSL, ca răspuns la informații despre o nouă metodă de atac, au decis să dezactiveze SHA-1 la primul nivel implicit de securitate (SHA-1 nu poate fi folosit pentru certificate și semnături digitale în timpul procesului de negociere a conexiunii).
Sursa: opennet.ru
