Studiuesit nga Instituti Shtetëror Francez për Kërkime në Informatikë dhe Automatizim (INRIA) dhe Universiteti Teknologjik Nanyang (Singapore) prezantuan një metodë sulmi (), i cili konsiderohet si zbatimi i parë praktik i një sulmi ndaj algoritmit SHA-1 që mund të përdoret për të krijuar nënshkrime dixhitale false PGP dhe GnuPG. Studiuesit besojnë se të gjitha sulmet praktike në MD5 tani mund të aplikohen në SHA-1, megjithëse ato ende kërkojnë burime të konsiderueshme për t'u zbatuar.
Metoda bazohet në kryerjen , i cili ju lejon të zgjidhni shtesa për dy grupe të dhënash arbitrare, kur bashkangjiten, dalja do të prodhojë grupe që shkaktojnë një përplasje, aplikimi i algoritmit SHA-1 për të cilin do të çojë në formimin e të njëjtit hash që rezulton. Me fjalë të tjera, për dy dokumente ekzistuese, mund të llogariten dy plotësues dhe nëse njëri i bashkëngjitet dokumentit të parë dhe tjetri i dyti, hash-et e SHA-1 që rezultojnë për këto skedarë do të jenë të njëjta.
Metoda e re ndryshon nga teknikat e ngjashme të propozuara më parë duke rritur efikasitetin e kërkimit të përplasjeve dhe duke demonstruar aplikim praktik për sulmin PGP. Në veçanti, studiuesit ishin në gjendje të përgatisnin dy çelësa publikë PGP të madhësive të ndryshme (RSA-8192 dhe RSA-6144) me ID të ndryshme përdoruesish dhe me certifikata që shkaktojnë një përplasje SHA-1. përfshinte ID-në e viktimës dhe përfshinte emrin dhe imazhin e sulmuesit. Për më tepër, falë zgjedhjes së përplasjes, certifikata identifikuese e çelësit, duke përfshirë çelësin dhe imazhin e sulmuesit, kishte të njëjtin hash SHA-1 si certifikata e identifikimit, duke përfshirë çelësin dhe emrin e viktimës.
Sulmuesi mund të kërkojë një nënshkrim dixhital për çelësin dhe imazhin e tij nga një autoritet certifikues i palës së tretë dhe më pas të transferojë nënshkrimin dixhital për çelësin e viktimës. Nënshkrimi dixhital mbetet i saktë për shkak të përplasjes dhe verifikimit të çelësit të sulmuesit nga një autoritet certifikues, i cili i lejon sulmuesit të fitojë kontrollin e çelësit me emrin e viktimës (pasi hash-i SHA-1 për të dy çelësat është i njëjtë). Si rezultat, sulmuesi mund të imitojë viktimën dhe të nënshkruajë çdo dokument në emër të saj.
Sulmi është ende mjaft i kushtueshëm, por tashmë mjaft i përballueshëm për shërbimet e inteligjencës dhe korporatat e mëdha. Për një përzgjedhje të thjeshtë përplasjeje duke përdorur një GPU më të lirë NVIDIA GTX 970, kostot ishin 11 mijë dollarë, dhe për një përzgjedhje përplasjeje me një prefiks të caktuar - 45 mijë dollarë (për krahasim, në vitin 2012, kostot për zgjedhjen e përplasjes në SHA-1 ishin vlerësuar në 2 milion dollarë, dhe në 2015 - 700 mijë). Për të kryer një sulm praktik në PGP, u deshën dy muaj llogaritje duke përdorur 900 GPU NVIDIA GTX 1060, marrja me qira e të cilave u kushtoi studiuesve 75 dollarë.
Metoda e zbulimit të përplasjeve e propozuar nga studiuesit është afërsisht 10 herë më efektive se arritjet e mëparshme - niveli i kompleksitetit të llogaritjeve të përplasjeve u reduktua në 261.2 operacione, në vend të 264.7, dhe përplasjet me një prefiks të caktuar në 263.4 operacione në vend të 267.1. Studiuesit rekomandojnë kalimin nga SHA-1 në përdorimin e SHA-256 ose SHA-3 sa më shpejt të jetë e mundur, pasi ata parashikojnë që kostoja e një sulmi do të bjerë në 2025 dollarë deri në vitin 10.
Zhvilluesit e GnuPG u njoftuan për problemin më 1 tetor (CVE-2019-14855) dhe morën masa për të bllokuar certifikatat problematike më 25 nëntor në lëshimin e GnuPG 2.2.18 - të gjitha nënshkrimet e identitetit dixhital SHA-1 të krijuara pas datës 19 janar vitin e kaluar tani njihen si të pasakta. CAcert, një nga autoritetet kryesore të certifikimit për çelësat PGP, planifikon të kalojë në përdorimin e funksioneve më të sigurta hash për certifikimin e çelësave. Zhvilluesit e OpenSSL, në përgjigje të informacionit në lidhje me një metodë të re sulmi, vendosën të çaktivizojnë SHA-1 në nivelin e parë të paracaktuar të sigurisë (SHA-1 nuk mund të përdoret për certifikatat dhe nënshkrimet dixhitale gjatë procesit të negocimit të lidhjes).
Burimi: opennet.ru