තොරතුරු හා ස්වයංක්රීයකරණය පිළිබඳ පර්යේෂණ සඳහා ප්රංශ රාජ්ය ආයතනය (INRIA) සහ Nanyang තාක්ෂණ විශ්වවිද්යාලය (සිංගප්පූරුව) හි පර්යේෂකයන් විසින් ප්රහාරක ක්රමයක් ඉදිරිපත් කරන ලදී.
ක්රමය ක්රියාත්මක කිරීම මත පදනම් වේ
නව ක්රමය ඝට්ටන සෙවීමේ කාර්යක්ෂමතාව වැඩි කිරීම සහ PGP වෙත ප්රහාර එල්ල කිරීම සඳහා ප්රායෝගික යෙදුම ප්රදර්ශනය කිරීම මගින් කලින් යෝජිත සමාන තාක්ෂණික ක්රමවලින් වෙනස් වේ. විශේෂයෙන්ම, විවිධ පරිශීලක හැඳුනුම්පත් සහ SHA-8192 ගැටුමක් ඇති කරන සහතික සහිත විවිධ ප්රමාණයේ (RSA-6144 සහ RSA-1) PGP පොදු යතුරු දෙකක් සකස් කිරීමට පර්යේෂකයන්ට හැකි විය.
ප්රහාරකයාට තුන්වන පාර්ශ්ව සහතික කිරීමේ අධිකාරියකින් ඔහුගේ යතුර සහ රූපය සඳහා ඩිජිටල් අත්සනක් ඉල්ලා සිටිය හැක, ඉන්පසු වින්දිතයාගේ යතුර සඳහා ඩිජිටල් අත්සන මාරු කළ හැකිය. සහතික කිරීමේ අධිකාරියක් මගින් ප්රහාරකයාගේ යතුර ගැටීම සහ සත්යාපනය කිරීම හේතුවෙන් සංඛ්යාංක අත්සන නිවැරදිව පවතියි, එමඟින් ප්රහාරකයාට වින්දිතයාගේ නම සහිත යතුර පාලනය කිරීමට ඉඩ සලසයි (යතුරු දෙකෙහිම SHA-1 හැෂ් එක සමාන බැවින්). එහි ප්රතිඵලයක් වශයෙන්, ප්රහාරකයාට වින්දිතයා ලෙස පෙනී සිටීමට සහ ඇය වෙනුවෙන් ඕනෑම ලියවිල්ලකට අත්සන් කිරීමට හැකිය.
ප්රහාරය තවමත් තරමක් මිල අධික වන නමුත් බුද්ධි අංශ සහ විශාල සමාගම් සඳහා දැනටමත් තරමක් දැරිය හැකි මිලකට. මිල අඩු NVIDIA GTX 970 GPU භාවිතා කරමින් සරල ගැටුම් තේරීමක් සඳහා, පිරිවැය ඩොලර් 11 දහසක් වූ අතර, දී ඇති උපසර්ගයක් සමඟ ගැටීමේ තේරීමක් සඳහා - ඩොලර් 45 දහසක් (සැසඳීම සඳහා, 2012 දී SHA-1 හි ගැටුම් තේරීම සඳහා වන පිරිවැය ඇස්තමේන්තු කර ඇත. ඩොලර් මිලියන 2 කින් සහ 2015 දී - 700 දහසක්). PGP වෙත ප්රායෝගික ප්රහාරයක් එල්ල කිරීම සඳහා, NVIDIA GTX 900 GPUs 1060ක් භාවිතා කරමින් මාස දෙකක පරිඝනක කාලයක් ගත වූ අතර, එහි කුලියට පර්යේෂකයන්ට ඩොලර් 75ක් වැය විය.
පර්යේෂකයන් විසින් යෝජනා කරන ලද ඝට්ටන හඳුනාගැනීමේ ක්රමය පෙර ජයග්රහණවලට වඩා දළ වශයෙන් 10 ගුණයකින් ඵලදායී වේ - ඝට්ටන ගණනය කිරීම් වල සංකීර්ණතා මට්ටම 261.2 වෙනුවට මෙහෙයුම් 264.7 දක්වා අඩු කරන ලද අතර, 263.4 වෙනුවට මෙහෙයුම් 267.1 වෙත ලබා දී ඇති උපසර්ගය සමඟ ගැටීම්. 1 වන විට ප්රහාරයක පිරිවැය ඩොලර් 256 දක්වා පහත වැටෙනු ඇතැයි අනාවැකි පළ කරන බැවින්, හැකි ඉක්මනින් SHA-3 සිට SHA-2025 හෝ SHA-10 භාවිතා කිරීමට පර්යේෂකයන් නිර්දේශ කරයි.
ඔක්තෝබර් 1 (CVE-2019-14855) හි GnuPG සංවර්ධකයින්ට ගැටලුව පිළිබඳව දැනුම් දෙන ලද අතර නොවැම්බර් 25 වන දින GnuPG 2.2.18 නිකුත් කිරීමේදී ගැටළු සහගත සහතික අවහිර කිරීමට ක්රියා කරන ලදී - සියලුම SHA-1 ඩිජිටල් අනන්යතා අත්සන් ජනවාරි 19 න් පසුව නිර්මාණය කරන ලදී. පසුගිය වසර වැරදි බව දැන් හඳුනාගෙන ඇත. PGP යතුරු සඳහා ප්රධාන සහතික කිරීමේ අධිකාරීන්ගෙන් එකක් වන CAcert, යතුරු සහතික කිරීම සඳහා වඩාත් ආරක්ෂිත හැෂ් ශ්රිත භාවිතා කිරීමට මාරු වීමට සැලසුම් කරයි. OpenSSL සංවර්ධකයින්, නව ප්රහාරක ක්රමයක් පිළිබඳ තොරතුරු වලට ප්රතිචාර වශයෙන්, පෙරනිමි පළමු මට්ටමේ ආරක්ෂාවේදී SHA-1 අක්රිය කිරීමට තීරණය කළේය (සම්බන්ධතා සාකච්ඡා ක්රියාවලියේදී සහතික සහ ඩිජිටල් අත්සන් සඳහා SHA-1 භාවිතා කළ නොහැක).
මූලාශ්රය: opennet.ru