Bafuputsi ba French State Institute for Research in Informatics and Automation (INRIA) le Nanyang Technological University (Singapore) ba hlahisitse mokhoa oa tlhaselo. (), e nkoang e le ts'ebetsong ea pele e sebetsang ea tlhaselo ea algorithm ea SHA-1 e ka sebelisoang ho theha li-signature tsa PGP le GnuPG tsa bogus. Bafuputsi ba lumela hore litlhaselo tsohle tse sebetsang ho MD5 joale li ka sebelisoa ho SHA-1, leha li ntse li hloka lisebelisoa tsa bohlokoa ho li kenya tšebetsong.
Mokhoa o ipapisitse le ho etsoa , e leng se u lumellang hore u khethe litlatsetso bakeng sa lihlopha tse peli tse sa lumellaneng, ha li kopantsoe, tlhahiso e tla hlahisa lihlopha tse bakang ho thulana, ho sebelisoa ha algorithm ea SHA-1 e tla lebisa ho thehoeng ha hashe e tšoanang e hlahisoang. Ka mantsoe a mang, bakeng sa litokomane tse peli tse teng, li-complements tse peli li ka baloa, 'me haeba e' ngoe e kenngoa tokomaneng ea pele 'me e' ngoe ho ea ho ea bobeli, li-hashes tsa SHA-1 tse hlahisoang bakeng sa lifaele tsena li tla tšoana.
Mokhoa o mocha o fapana le mekhoa e ts'oanang e neng e reriloe pele ka ho eketsa katleho ea lipatlisiso tsa likhohlano le ho bonts'a ts'ebeliso e sebetsang ea ho hlasela PGP. Haholo-holo, bafuputsi ba ile ba khona ho lokisa linotlolo tse peli tsa sechaba tsa PGP tsa boholo bo fapaneng (RSA-8192 le RSA-6144) ka li-ID tse fapaneng tsa basebelisi le litifikeiti tse bakang ho thulana ha SHA-1. e kenyelelitse lehlatsipa ID, le e kenyelelitse lebitso le setšoantšo sa mohlaseli. Ho feta moo, ka lebaka la khetho ea ho thulana, setifikeiti se khethollang senotlolo, ho kenyeletsoa senotlolo le setšoantšo sa mohlaseli, se ne se e-na le SHA-1 hash e le setifikeiti sa boitsebahatso, ho kenyeletsoa senotlolo le lebitso la mohlaseluoa.
Mohlaseli a ka kopa signature ea dijithale bakeng sa senotlolo le setšoantšo sa hae ho tsoa ho ba boholong ba fanang ka setifikeiti, ebe joale a fetisetsa signature ea dijithale bakeng sa senotlolo sa mohlaseluoa. Saena ea dijithale e lula e nepahetse ka lebaka la ho thulana le netefatso ea senotlolo sa mohlaseli ke bolaoli ba setifikeiti, e lumellang mohlaseli ho fumana taolo ea senotlolo ka lebitso la motho ea hlasetsoeng (kaha SHA-1 hash bakeng sa linotlolo ka bobeli e tšoana). Ka lebaka leo, mohlaseli a ka iketsa mohlaseluoa 'me a saena tokomane efe kapa efe molemong oa hae.
Tlhaselo e ntse e bitsa chelete e ngata, empa e se e le theko e tlase haholo bakeng sa lits'ebeletso tsa bohlale le likhoebo tse kholo. Bakeng sa khetho e bonolo ea ho thulana ho sebelisa NVIDIA GTX 970 GPU e theko e tlaase, litšenyehelo e ne e le lidolara tse likete tse 11, 'me bakeng sa khetho ea ho thulana ka selelekela se fanoeng - lidolara tse likete tse 45 (ha ho bapisoa, ka 2012 litšenyehelo tsa khetho ea ho thulana ho SHA-1 li ne li hakanngoa. ka liranta tse limilione tse 2, 'me ka 2015 - 700 tse likete). Ho etsa tlhaselo e sebetsang ho PGP, ho nkile likhoeli tse peli tsa komporo ho sebelisa 900 NVIDIA GTX 1060 GPUs, khiriso e jeleng bafuputsi $75.
Mokhoa oa ho lemoha ho thulana o hlahisitsoeng ke bafuputsi o batla o sebetsa ka makhetlo a 10 ho feta katleho ea nakong e fetileng - boemo bo rarahaneng ba lipalo tsa ho thulana bo fokotsehile ho ea ho ts'ebetso ea 261.2, ho e-na le 264.7, le ho thulana le selelekela se fanoeng ho ts'ebetso ea 263.4 sebakeng sa 267.1. Bafuputsi ba khothaletsa ho tloha SHA-1 ho sebelisa SHA-256 kapa SHA-3 kapele kamoo ho ka khonehang, kaha ba bolela esale pele hore litšenyehelo tsa tlhaselo li tla theohela ho $ 2025 ka 10.
Bahlahisi ba GnuPG ba ile ba tsebisoa ka bothata ka la 1 Mphalane (CVE-2019-14855) mme ba nka bohato ba ho thibela litifikeiti tse nang le bothata ka la 25 Pulungoana tokollong ea GnuPG 2.2.18 - li-signature tsohle tsa SHA-1 tsa boitsebahatso tse entsoeng kamora la 19 Pherekhong. selemong se fetileng li se li nkoa e le tse fosahetseng. CAcert, e 'ngoe ea balaoli ba mantlha ba setifikeiti bakeng sa linotlolo tsa PGP, e rera ho fallela ts'ebelisong ea mesebetsi e sireletsehileng ea hash bakeng sa setifikeiti sa bohlokoa. Bahlahisi ba OpenSSL, ho arabela tlhahisoleseling mabapi le mokhoa o mocha oa tlhaselo, ba nkile qeto ea ho tima SHA-1 maemong a pele a ts'ireletso (SHA-1 e ke ke ea sebelisoa bakeng sa litifikeiti le li-signature tsa dijithale nakong ea lipuisano tsa khokahano).
Source: opennet.ru