තොරතුරු හා ස්වයංක්රීයකරණය පිළිබඳ පර්යේෂණ සඳහා ප්රංශ රාජ්ය ආයතනය (INRIA) සහ Nanyang තාක්ෂණ විශ්වවිද්යාලය (සිංගප්පූරුව) හි පර්යේෂකයන් විසින් ප්රහාරක ක්රමයක් ඉදිරිපත් කරන ලදී. (), එය ව්යාජ PGP සහ GnuPG ඩිජිටල් අත්සන් නිර්මාණය කිරීමට භාවිතා කළ හැකි SHA-1 ඇල්ගොරිතමයට ප්රහාරයක පළමු ප්රායෝගික ක්රියාත්මක කිරීම ලෙස හුවා දක්වයි. පර්යේෂකයන් විශ්වාස කරන්නේ MD5 මත ඇති සියලුම ප්රායෝගික ප්රහාර දැන් SHA-1 වෙත යෙදිය හැකි නමුත් ඒවා ක්රියාත්මක කිරීමට තවමත් සැලකිය යුතු සම්පත් අවශ්ය වුවද.
ක්රමය ක්රියාත්මක කිරීම මත පදනම් වේ , ඔබට අත්තනෝමතික දත්ත කට්ටල දෙකක් සඳහා එකතු කිරීම් තෝරා ගැනීමට ඉඩ සලසයි, අමුණා ඇති විට, ප්රතිදානය ගැටුමක් ඇති කරන කට්ටල නිපදවනු ඇත, SHA-1 ඇල්ගොරිතමයේ යෙදීම එම ප්රතිඵලය හැෂ් සෑදීමට හේතු වනු ඇත. වෙනත් වචන වලින් කිවහොත්, පවතින ලේඛන දෙකක් සඳහා, අනුපූරක දෙකක් ගණනය කළ හැකි අතර, එකක් පළමු ලේඛනයට සහ අනෙක දෙවන ලේඛනයට එකතු කළහොත්, මෙම ගොනු සඳහා ලැබෙන SHA-1 හෑෂ් සමාන වේ.
නව ක්රමය ඝට්ටන සෙවීමේ කාර්යක්ෂමතාව වැඩි කිරීම සහ PGP වෙත ප්රහාර එල්ල කිරීම සඳහා ප්රායෝගික යෙදුම ප්රදර්ශනය කිරීම මගින් කලින් යෝජිත සමාන තාක්ෂණික ක්රමවලින් වෙනස් වේ. විශේෂයෙන්ම, විවිධ පරිශීලක හැඳුනුම්පත් සහ SHA-8192 ගැටුමක් ඇති කරන සහතික සහිත විවිධ ප්රමාණයේ (RSA-6144 සහ RSA-1) PGP පොදු යතුරු දෙකක් සකස් කිරීමට පර්යේෂකයන්ට හැකි විය. වින්දිත හැඳුනුම්පත ඇතුළත්, සහ ප්රහාරකයාගේ නම සහ රූපය ඇතුළත් විය. එපමනක් නොව, ඝට්ටන තේරීමට ස්තූතිවන්ත වන්නට, යතුර සහ ප්රහාරකයාගේ රූපය ඇතුළුව, යතුර හඳුනාගැනීමේ සහතිකයේ, වින්දිතයාගේ යතුර සහ නම ඇතුළුව, හැඳුනුම් සහතිකයට සමාන SHA-1 හැෂ් එකක් තිබුණි.
ප්රහාරකයාට තුන්වන පාර්ශ්ව සහතික කිරීමේ අධිකාරියකින් ඔහුගේ යතුර සහ රූපය සඳහා ඩිජිටල් අත්සනක් ඉල්ලා සිටිය හැක, ඉන්පසු වින්දිතයාගේ යතුර සඳහා ඩිජිටල් අත්සන මාරු කළ හැකිය. සහතික කිරීමේ අධිකාරියක් මගින් ප්රහාරකයාගේ යතුර ගැටීම සහ සත්යාපනය කිරීම හේතුවෙන් සංඛ්යාංක අත්සන නිවැරදිව පවතියි, එමඟින් ප්රහාරකයාට වින්දිතයාගේ නම සහිත යතුර පාලනය කිරීමට ඉඩ සලසයි (යතුරු දෙකෙහිම SHA-1 හැෂ් එක සමාන බැවින්). එහි ප්රතිඵලයක් වශයෙන්, ප්රහාරකයාට වින්දිතයා ලෙස පෙනී සිටීමට සහ ඇය වෙනුවෙන් ඕනෑම ලියවිල්ලකට අත්සන් කිරීමට හැකිය.
ප්රහාරය තවමත් තරමක් මිල අධික වන නමුත් බුද්ධි අංශ සහ විශාල සමාගම් සඳහා දැනටමත් තරමක් දැරිය හැකි මිලකට. මිල අඩු NVIDIA GTX 970 GPU භාවිතා කරමින් සරල ගැටුම් තේරීමක් සඳහා, පිරිවැය ඩොලර් 11 දහසක් වූ අතර, දී ඇති උපසර්ගයක් සමඟ ගැටීමේ තේරීමක් සඳහා - ඩොලර් 45 දහසක් (සැසඳීම සඳහා, 2012 දී SHA-1 හි ගැටුම් තේරීම සඳහා වන පිරිවැය ඇස්තමේන්තු කර ඇත. ඩොලර් මිලියන 2 කින් සහ 2015 දී - 700 දහසක්). PGP වෙත ප්රායෝගික ප්රහාරයක් එල්ල කිරීම සඳහා, NVIDIA GTX 900 GPUs 1060ක් භාවිතා කරමින් මාස දෙකක පරිඝනක කාලයක් ගත වූ අතර, එහි කුලියට පර්යේෂකයන්ට ඩොලර් 75ක් වැය විය.
පර්යේෂකයන් විසින් යෝජනා කරන ලද ඝට්ටන හඳුනාගැනීමේ ක්රමය පෙර ජයග්රහණවලට වඩා දළ වශයෙන් 10 ගුණයකින් ඵලදායී වේ - ඝට්ටන ගණනය කිරීම් වල සංකීර්ණතා මට්ටම 261.2 වෙනුවට මෙහෙයුම් 264.7 දක්වා අඩු කරන ලද අතර, 263.4 වෙනුවට මෙහෙයුම් 267.1 වෙත ලබා දී ඇති උපසර්ගය සමඟ ගැටීම්. 1 වන විට ප්රහාරයක පිරිවැය ඩොලර් 256 දක්වා පහත වැටෙනු ඇතැයි අනාවැකි පළ කරන බැවින්, හැකි ඉක්මනින් SHA-3 සිට SHA-2025 හෝ SHA-10 භාවිතා කිරීමට පර්යේෂකයන් නිර්දේශ කරයි.
ඔක්තෝබර් 1 (CVE-2019-14855) හි GnuPG සංවර්ධකයින්ට ගැටලුව පිළිබඳව දැනුම් දෙන ලද අතර නොවැම්බර් 25 වන දින GnuPG 2.2.18 නිකුත් කිරීමේදී ගැටළු සහගත සහතික අවහිර කිරීමට ක්රියා කරන ලදී - සියලුම SHA-1 ඩිජිටල් අනන්යතා අත්සන් ජනවාරි 19 න් පසුව නිර්මාණය කරන ලදී. පසුගිය වසර වැරදි බව දැන් හඳුනාගෙන ඇත. PGP යතුරු සඳහා ප්රධාන සහතික කිරීමේ අධිකාරීන්ගෙන් එකක් වන CAcert, යතුරු සහතික කිරීම සඳහා වඩාත් ආරක්ෂිත හැෂ් ශ්රිත භාවිතා කිරීමට මාරු වීමට සැලසුම් කරයි. OpenSSL සංවර්ධකයින්, නව ප්රහාරක ක්රමයක් පිළිබඳ තොරතුරු වලට ප්රතිචාර වශයෙන්, පෙරනිමි පළමු මට්ටමේ ආරක්ෂාවේදී SHA-1 අක්රිය කිරීමට තීරණය කළේය (සම්බන්ධතා සාකච්ඡා ක්රියාවලියේදී සහතික සහ ඩිජිටල් අත්සන් සඳහා SHA-1 භාවිතා කළ නොහැක).
මූලාශ්රය: opennet.ru