Raziskovalci francoskega državnega inštituta za raziskave v informatiki in avtomatizaciji (INRIA) in tehnološke univerze Nanyang (Singapur) so predstavili metodo napada (), ki se oglašuje kot prva praktična izvedba napada na algoritem SHA-1, ki se lahko uporablja za ustvarjanje lažnih digitalnih podpisov PGP in GnuPG. Raziskovalci verjamejo, da je vse praktične napade na MD5 zdaj mogoče uporabiti v SHA-1, čeprav še vedno zahtevajo znatna sredstva za izvedbo.
Metoda temelji na izvajanju , ki vam omogoča, da izberete dodatke za dva poljubna niza podatkov, ko bo pritrjen, bo izhod proizvedel nize, ki povzročijo kolizijo, pri čemer bo uporaba algoritma SHA-1 privedla do oblikovanja enakega končnega zgoščevanja. Z drugimi besedami, za dva obstoječa dokumenta je mogoče izračunati dva komplementa, in če je eden pripet prvemu dokumentu, drugi pa drugemu, bodo posledični zgoščevalci SHA-1 za ti datoteki enaki.
Nova metoda se razlikuje od predhodno predlaganih podobnih tehnik s povečanjem učinkovitosti iskanja kolizij in prikazom praktične uporabe za napad na PGP. Zlasti je raziskovalcem uspelo pripraviti dva javna ključa PGP različnih velikosti (RSA-8192 in RSA-6144) z različnimi uporabniškimi ID-ji in s potrdili, ki povzročijo kolizijo SHA-1. vključil ID žrtve in vsebuje ime in podobo napadalca. Poleg tega je zahvaljujoč izbiri kolizije imelo potrdilo za identifikacijo ključa, vključno s ključem in napadalčevo sliko, enako zgoščeno vrednost SHA-1 kot identifikacijsko potrdilo, vključno s ključem in imenom žrtve.
Napadalec lahko zahteva digitalni podpis za svoj ključ in sliko od overitelja tretje osebe in nato prenese digitalni podpis za ključ žrtve. Digitalni podpis ostane pravilen zaradi kolizije in verifikacije napadalčevega ključa s strani certifikacijskega organa, kar napadalcu omogoči pridobitev nadzora nad ključem z imenom žrtve (ker je SHA-1 hash za oba ključa enak). Posledično se lahko napadalec izda za žrtev in v njenem imenu podpiše kateri koli dokument.
Napad je še vedno precej drag, vendar že precej dostopen za obveščevalne službe in velike korporacije. Za preprosto izbiro kolizije z uporabo cenejše GPU NVIDIA GTX 970 so stroški znašali 11 tisoč dolarjev, za izbiro kolizije z dano predpono pa 45 tisoč dolarjev (za primerjavo, leta 2012 so bili ocenjeni stroški izbire kolizije v SHA-1 2 milijona dolarjev, leta 2015 pa 700 tisoč). Za izvedbo praktičnega napada na PGP sta bila potrebna dva meseca računalništva z uporabo 900 grafičnih procesorjev NVIDIA GTX 1060, katerih najem je raziskovalce stal 75 $.
Metoda zaznavanja trkov, ki so jo predlagali raziskovalci, je približno 10-krat učinkovitejša od prejšnjih dosežkov - stopnja kompleksnosti izračunov trkov je bila zmanjšana na 261.2 operacije namesto 264.7, trki z dano predpono pa na 263.4 operacije namesto 267.1. Raziskovalci priporočajo čimprejšnji prehod s SHA-1 na uporabo SHA-256 ali SHA-3, saj predvidevajo, da bodo stroški napada do leta 2025 padli na 10 $.
Razvijalci GnuPG so bili o težavi obveščeni 1. oktobra (CVE-2019-14855) in so ukrepali za blokiranje problematičnih potrdil 25. novembra v izdaji GnuPG 2.2.18 – vsi podpisi digitalne identitete SHA-1, ustvarjeni po 19. januarju lansko leto so zdaj priznani kot nepravilni. CAcert, eden glavnih certifikacijskih organov za ključe PGP, namerava preiti na uporabo varnejših zgoščenih funkcij za certificiranje ključev. Razvijalci OpenSSL so se kot odgovor na informacije o novi metodi napada odločili onemogočiti SHA-1 na privzeti prvi stopnji varnosti (SHA-1 ni mogoče uporabiti za potrdila in digitalne podpise med postopkom pogajanj o povezavi).
Vir: opennet.ru
