Vedci z Francúzskeho Štátneho inštitútu pre výskum informatiky a automatizácie (INRIA) a Technologickej univerzity Nanyang (Singapur) predstavili metódu útoku (), ktorý je ponúkaný ako prvá praktická implementácia útoku na algoritmus SHA-1, ktorý možno použiť na vytvorenie falošných digitálnych podpisov PGP a GnuPG. Výskumníci sa domnievajú, že všetky praktické útoky na MD5 je teraz možné aplikovať na SHA-1, hoci ich implementácia si stále vyžaduje značné zdroje.
Metóda je založená na vykonávaní , ktorý umožňuje vybrať dodatky pre dve ľubovoľné množiny údajov, po pripojení výstup vytvorí množiny, ktoré spôsobia kolíziu, pričom aplikácia algoritmu SHA-1 povedie k vytvoreniu rovnakého výsledného hashu. Inými slovami, pre dva existujúce dokumenty možno vypočítať dva doplnky a ak sa jeden pripojí k prvému dokumentu a druhý k druhému, výsledné hash SHA-1 pre tieto súbory budú rovnaké.
Nová metóda sa líši od predtým navrhovaných podobných techník zvýšením efektivity vyhľadávania kolízií a demonštrovaním praktickej aplikácie pre útok na PGP. Výskumníkom sa podarilo pripraviť dva verejné kľúče PGP rôznych veľkostí (RSA-8192 a RSA-6144) s rôznymi ID používateľov a s certifikátmi, ktoré spôsobujú kolíziu SHA-1. vrátane ID obete a obsahovalo meno a obrázok útočníka. Navyše, vďaka výberu kolízie mal kľúč identifikujúci certifikát, vrátane kľúča a obrazu útočníka, rovnaký hash SHA-1 ako identifikačný certifikát, vrátane kľúča a mena obete.
Útočník by mohol požiadať o digitálny podpis pre svoj kľúč a obrázok od certifikačnej autority tretej strany a potom preniesť digitálny podpis pre kľúč obete. Digitálny podpis zostáva správny z dôvodu kolízie a overenia kľúča útočníka certifikačnou autoritou, čo útočníkovi umožňuje získať kontrolu nad kľúčom s menom obete (keďže hash SHA-1 pre oba kľúče je rovnaký). Výsledkom je, že útočník sa môže vydávať za obeť a podpísať v jej mene akýkoľvek dokument.
Útok je stále dosť nákladný, no pre spravodajské služby a veľké korporácie už celkom dostupný. Za jednoduchý výber kolízie pomocou lacnejšieho GPU NVIDIA GTX 970 boli náklady 11-tisíc dolárov a za výber kolízie s daným prefixom - 45-tisíc dolárov (pre porovnanie v roku 2012 boli náklady na výber kolízie v SHA-1 odhaduje sa na 2 milióny dolárov av roku 2015 - 700 tisíc). Uskutočnenie praktického útoku na PGP trvalo dva mesiace výpočtov s použitím 900 GPU NVIDIA GTX 1060, ktorých prenájom stál výskumníkov 75 XNUMX dolárov.
Metóda detekcie kolízií navrhovaná výskumníkmi je približne 10-krát účinnejšia ako predchádzajúce úspechy - úroveň zložitosti výpočtov kolízií sa znížila na 261.2 operácií namiesto 264.7 a kolízie s danou predponou na 263.4 operácií namiesto 267.1. Vedci odporúčajú čo najskôr prejsť z SHA-1 na používanie SHA-256 alebo SHA-3, keďže predpovedajú, že náklady na útok klesnú do roku 2025 na 10 XNUMX dolárov.
Vývojári GnuPG boli na problém upozornení 1. októbra (CVE-2019-14855) a 25. novembra vo vydaní GnuPG 2.2.18 prijali opatrenia na zablokovanie problematických certifikátov – všetky podpisy digitálnej identity SHA-1 vytvorené po 19. januári r. minulý rok sú teraz uznané ako nesprávne. CAcert, jedna z hlavných certifikačných autorít pre kľúče PGP, plánuje prejsť na používanie bezpečnejších hašovacích funkcií na certifikáciu kľúčov. Vývojári OpenSSL sa v reakcii na informácie o novej metóde útoku rozhodli zakázať SHA-1 na predvolenej prvej úrovni zabezpečenia (SHA-1 nemožno použiť pre certifikáty a digitálne podpisy počas procesu vyjednávania o pripojení).
Zdroj: opennet.ru
