Forskare från det franska statliga institutet för forskning inom informatik och automation (INRIA) och Nanyang Technological University (Singapore) presenterade en attackmetod
Metoden bygger på att utföra
Den nya metoden skiljer sig från tidigare föreslagna liknande tekniker genom att öka effektiviteten i kollisionssökning och demonstrera praktisk tillämpning för att attackera PGP. I synnerhet kunde forskarna förbereda två publika PGP-nycklar av olika storlekar (RSA-8192 och RSA-6144) med olika användar-ID och med certifikat som orsakar en SHA-1-kollision.
Angriparen kan begära en digital signatur för sin nyckel och bild från en tredje parts certifieringsmyndighet och sedan överföra den digitala signaturen för offrets nyckel. Den digitala signaturen förblir korrekt på grund av kollisionen och verifieringen av angriparens nyckel av en certifieringsmyndighet, vilket gör att angriparen kan få kontroll över nyckeln med offrets namn (eftersom SHA-1-hash för båda nycklarna är densamma). Som ett resultat kan angriparen utge sig för att vara offret och underteckna alla dokument å hennes vägnar.
Attacken är fortfarande ganska kostsam, men redan ganska överkomlig för underrättelsetjänster och stora företag. För ett enkelt kollisionsval med en billigare NVIDIA GTX 970 GPU var kostnaderna 11 tusen dollar, och för ett kollisionsval med ett givet prefix - 45 tusen dollar (för jämförelse, 2012 var kostnaderna för kollisionsval i SHA-1 uppskattas till 2 miljoner dollar och 2015 - 700 tusen). För att genomföra en praktisk attack på PGP tog det två månaders datoranvändning med 900 NVIDIA GTX 1060 GPU:er, vars hyra kostade forskarna 75 XNUMX dollar.
Den kollisionsdetekteringsmetod som forskarna föreslagit är ungefär 10 gånger effektivare än tidigare prestationer - komplexitetsnivån för kollisionsberäkningar reducerades till 261.2 operationer, istället för 264.7, och kollisioner med ett givet prefix till 263.4 operationer istället för 267.1. Forskarna rekommenderar att man byter från SHA-1 till att använda SHA-256 eller SHA-3 så snart som möjligt, eftersom de förutspår att kostnaden för en attack kommer att sjunka till $2025 10 år XNUMX.
GnuPG-utvecklarna underrättades om problemet den 1 oktober (CVE-2019-14855) och vidtog åtgärder för att blockera de problematiska certifikaten den 25 november i releasen av GnuPG 2.2.18 - alla SHA-1 digitala identitetssignaturer skapade efter den 19 januari förra året erkänns nu som felaktiga. CAcert, en av de viktigaste certifieringsmyndigheterna för PGP-nycklar, planerar att gå över till att använda säkrare hashfunktioner för nyckelcertifiering. OpenSSL-utvecklarna, som svar på information om en ny attackmetod, beslutade att inaktivera SHA-1 på den första standardnivån av säkerhet (SHA-1 kan inte användas för certifikat och digitala signaturer under anslutningsförhandlingsprocessen).
Källa: opennet.ru