Cilmi-baarayaal ka socda Machadka Faransiiska ee Cilmi-baarista Informatics iyo Automation (INRIA) iyo Nanyang Technological University (Singapore) ayaa soo bandhigay habka weerarka. (), kaas oo loo arko inuu yahay fulinta ugu horreeya ee wax ku oolka ah ee weerarka SHA-1 algorithm kaas oo loo isticmaali karo in lagu abuuro saxeexyada dhijitaalka ah ee PGP iyo GnuPG. Cilmi-baadhayaashu waxay rumaysan yihiin in dhammaan weerarrada la taaban karo ee MD5 hadda lagu dabaqi karo SHA-1, inkastoo ay weli u baahan yihiin ilo muhiim ah si loo hirgeliyo.
Habka wuxuu ku salaysan yahay fulinta , kaas oo kuu ogolaanaya inaad doorato ku-darka laba qaybood oo xog ah, marka lagu dhejiyo, wax-soo-saarku wuxuu soo saari doonaa sets oo keena isku dhac, codsiga SHA-1 algorithm kaas oo u horseedi doona sameynta xashiishad isku mid ah. Si kale haddii loo dhigo, labada dukumeenti ee jira, laba dhammaystir ayaa la xisaabin karaa, haddii mid lagu dhejiyo dukumeentiga koowaad iyo kan labaad, natiijada SHA-1 ee faylashaas waxay noqon doontaa isku mid.
Habka cusubi wuu ka duwan yahay farsamooyinka la midka ah ee hore loo soo jeediyay iyadoo la kordhinayo waxtarka raadinta isku dhaca iyo muujinta codsiga dhabta ah ee weerarka PGP. Gaar ahaan, cilmi-baarayaashu waxay awoodeen inay diyaariyaan laba furayaal PGP oo cabbirro kala duwan leh (RSA-8192 iyo RSA-6144) oo wata aqoonsiyo isticmaale oo kala duwan iyo shahaadooyin sababa isku dhaca SHA-1. waxaa ku jiray aqoonsiga dhibbanaha, iyo oo ay ku jiraan magaca iyo sawirka qofka weerarka geystay. Waxaa intaa dheer, mahadnaqa xulashada isku dhaca, shahaadada aqoonsiga furaha, oo ay ku jiraan furaha iyo sawirka weerarka, waxay lahaayeen SHA-1 la mid ah shahaadada aqoonsiga, oo ay ku jiraan furaha iyo magaca dhibbanaha.
Weeraryahanku waxa uu furihiisa iyo masawirkiisa ka codsan karaa saxeex dhijitaal ah oo ka socda hayβadda shahaado-siinta qolo saddexaad, ka dibna u wareejin kara saxeexa dhijitaalka ah furaha dhibbanaha. Saxiixa dhijitaalka ah ayaa weli ah mid sax ah sababtoo ah isku dhaca iyo xaqiijinta furaha weerarka ee hay'adda shahaado, taas oo u oggolaanaysa weeraryahanku inuu gacanta ku dhigo furaha magaca dhibbanaha (maadaama xashiishka SHA-1 ee labada furayaashu ay isku mid yihiin). Natiijo ahaan, qofka weerarka geystay wuu iska dhigi karaa dhibbanaha oo wuxuu saxiixi karaa dukumeenti kasta isagoo wakiil ka ah.
Weerarku wali waa mid aad qaali u ah, laakiin mar horeba waa la awoodi karaa adeegyada sirdoonka iyo shirkadaha waaweyn. Xulashada shilalka fudud iyadoo la adeegsanayo NVIDIA GTX 970 GPU oo ka jaban, kharashyadu waxay ahaayeen 11 kun oo doolar, iyo xulashada isku dhaca oo leh horgale la bixiyay - 45 kun oo doolar (marka la barbardhigo, 2012 kharashyada xulashada isku dhaca SHA-1 ayaa lagu qiyaasay. 2 milyan oo doolar, iyo 2015 - 700 kun). Si loo fuliyo weerar wax ku ool ah PGP, waxay qaadatay laba bilood oo xisaabinta iyadoo la adeegsanayo 900 NVIDIA GTX 1060 GPUs, kirada ay ku kacayso cilmi-baarayaasha $ 75.
Habka ogaanshaha isku dhaca ee ay soo jeediyeen cilmi-baarayaashu waxay qiyaastii 10 jeer ka waxtar badan yihiin guulihii hore - heerka kakanaanta xisaabinta isku dhaca waxaa lagu dhimay 261.2 hawlgallada, halkii ay ka ahayd 264.7, iyo isku dhaca horgale la siiyay 263.4 hawlgallada halkii 267.1. Cilmi-baadhayaashu waxay ku talinayaan in laga beddelo SHA-1 loona isticmaalo SHA-256 ama SHA-3 sida ugu dhakhsaha badan, maadaama ay saadaaliyeen in kharashka weerarku hoos ugu dhici doono $ 2025 marka la gaaro 10.
Horumarinta GnuPG waxaa lagu wargeliyay dhibaatada Oktoobar 1 (CVE-2019-14855) waxayna qaadeen tallaabo ay ku xannibayaan shahaadooyinka dhibaatada leh Noofambar 25 ee sii deynta GnuPG 2.2.18 - dhammaan SHA-1 saxeexyada aqoonsiga dhijitaalka ah ee la sameeyay Janaayo 19 ee ka dib sannadkii hore ayaa hadda loo aqoonsaday inay khaldan yihiin. CAcert, mid ka mid ah mas'uuliyiinta shahaado-siinta ee furayaasha PGP, waxay qorshaynayaan inay u beddelaan isticmaalka hawlaha xashiishka ee ammaansan ee caddaynta muhiimka ah. Horumariyeyaasha OpenSSL, iyaga oo ka jawaabaya macluumaadka ku saabsan habka cusub ee weerarka, waxay go'aansadeen in ay joojiyaan SHA-1 heerka koowaad ee amniga (SHA-1 looma isticmaali karo shahaadooyinka iyo saxeexyada dhijitaalka ah inta lagu jiro habka gorgortanka isku xirka).
Source: opennet.ru