فرانسيسي اسٽيٽ انسٽيٽيوٽ فار ريسرچ انفارميٽڪس اينڊ آٽوميشن (INRIA) ۽ نانانگ ٽيڪنالاجي يونيورسٽي (سنگاپور) جي محققن هڪ حملي جو طريقو پيش ڪيو.
طريقيڪار تي ٻڌل آهي
نئون طريقو اڳئين تجويز ڪيل ساڳين ٽيڪنالاجي کان مختلف آهي جيڪو ٽڪرائي ڳولا جي ڪارڪردگي کي وڌائڻ ۽ PGP تي حملو ڪرڻ لاء عملي ايپليڪيشن جو مظاهرو ڪندي. خاص طور تي، محقق مختلف سائزن (RSA-8192 ۽ RSA-6144) جون ٻه PGP پبلڪ ڪيز تيار ڪرڻ جي قابل هئا مختلف يوزر آئي ڊيز ۽ سرٽيفڪيٽن سان جيڪي SHA-1 جي ٽڪراءَ جو سبب بڻجن ٿا.
حملو ڪندڙ ٽئين پارٽي جي سرٽيفڪيشن اٿارٽي کان پنهنجي چاٻي ۽ تصوير لاءِ ڊجيٽل دستخط جي درخواست ڪري سگهي ٿو، ۽ پوءِ قرباني جي ڪنجي لاءِ ڊجيٽل دستخط منتقل ڪري سگهي ٿو. سرٽيفڪيشن اٿارٽي پاران حملي آور جي ڪنجي جي ٽڪراءَ ۽ تصديق جي ڪري ڊجيٽل دستخط صحيح رهي ٿو، جيڪا حملي آور کي اجازت ڏئي ٿي ته هو قرباني جي نالي سان چيڪ جو ڪنٽرول حاصل ڪري (جيئن ته ٻنهي ڪنجين لاءِ SHA-1 هيش ساڳيو آهي). نتيجي طور، حملو ڪندڙ مقتول کي متاثر ڪري سگهي ٿو ۽ ان جي طرفان ڪنهن به دستاويز تي دستخط ڪري سگهي ٿو.
حملو اڃا تائين تمام قيمتي آهي، پر اڳ ۾ ئي انٽيليجنس سروسز ۽ وڏن ڪارپوريشنن لاءِ ڪافي سستي آهي. هڪ سستا NVIDIA GTX 970 GPU استعمال ڪندي هڪ سادي ٽڪراءَ جي چونڊ لاءِ، قيمتون 11 هزار ڊالر هيون، ۽ هڪ ڏنل اڳڪٿي سان ٽڪراءَ جي چونڊ لاءِ - 45 هزار ڊالر (مقابلي لاءِ، 2012 ۾ SHA-1 ۾ ٽڪراءَ جي چونڊ جي قيمتن جو اندازو لڳايو ويو هو. 2 ملين ڊالر تي، ۽ 2015 ۾ - 700 هزار). PGP تي عملي حملو ڪرڻ لاءِ، 900 NVIDIA GTX 1060 GPUs استعمال ڪندي ڪمپيوٽنگ جا ٻه مهينا لڳي ويا، جن جي ڪرائي تي تحقيق ڪندڙن جي قيمت $75 آهي.
محققن پاران تجويز ڪيل تصادم جو پتو لڳائڻ جو طريقو پوئين ڪاميابين جي ڀيٽ ۾ لڳ ڀڳ 10 ڀيرا وڌيڪ اثرائتو آهي - ٽڪر جي حسابن جي پيچيدگي جي سطح 261.2 جي بدران 264.7 آپريشنز تائين گھٽجي وئي، ۽ 263.4 بدران 267.1 آپريشنز کي ڏنل اڳڪٿي سان ٽڪرائجي ويو. محقق SHA-1 کان جلد کان جلد SHA-256 يا SHA-3 استعمال ڪرڻ جي صلاح ڏين ٿا، جيئن اهي اڳڪٿي ڪن ٿا ته حملي جي قيمت 2025 تائين $ 10 ٿي ويندي.
GnuPG ڊولپرز کي 1 آڪٽوبر (CVE-2019-14855) تي مسئلي جو اطلاع ڏنو ويو ۽ 25 نومبر تي GnuPG 2.2.18 جي رليز ۾ مشڪلاتي سرٽيفڪيٽن کي بلاڪ ڪرڻ لاءِ قدم کنيا - سڀ SHA-1 ڊجيٽل شناختي دستخط 19 جنوري کان پوءِ ٺاهيا ويا. گذريل سال هاڻي غلط طور سڃاتو وڃي ٿو. CAcert، PGP ڪيچز لاءِ مکيه سرٽيفڪيشن اختيارين مان هڪ، اهم سرٽيفڪيشن لاءِ وڌيڪ محفوظ هيش فنڪشن استعمال ڪرڻ تي سوئچ ڪرڻ جو منصوبو. OpenSSL ڊولپرز، نئين حملي واري طريقي جي معلومات جي جواب ۾، SHA-1 کي ڊفالٽ سيڪيورٽي جي پهرين سطح تي غير فعال ڪرڻ جو فيصلو ڪيو (SHA-1 ڪنيڪشن جي ڳالهين جي عمل دوران سرٽيفڪيٽ ۽ ڊجيٽل دستخطن لاءِ استعمال نه ٿي ڪري سگھجي).
جو ذريعو: opennet.ru