Forskare från det franska statliga institutet för forskning inom informatik och automation (INRIA) och Nanyang Technological University (Singapore) presenterade en attackmetod (), som sägs vara den första praktiska implementeringen av en attack mot SHA-1-algoritmen som kan användas för att skapa falska PGP- och GnuPG-digitala signaturer. Forskarna tror att alla praktiska attacker på MD5 nu kan tillämpas på SHA-1, även om de fortfarande kräver betydande resurser att genomföra.
Metoden bygger på att utföra , som låter dig välja tillägg för två godtyckliga datamängder, när den är bifogad kommer utdata att producera uppsättningar som orsakar en kollision, vars tillämpning av SHA-1-algoritmen kommer att leda till bildandet av samma resulterande hash. Med andra ord, för två befintliga dokument kan två komplement beräknas, och om det ena läggs till det första dokumentet och det andra till det andra kommer de resulterande SHA-1-hasharna för dessa filer att vara desamma.
Den nya metoden skiljer sig från tidigare föreslagna liknande tekniker genom att öka effektiviteten i kollisionssökning och demonstrera praktisk tillämpning för att attackera PGP. I synnerhet kunde forskarna förbereda två publika PGP-nycklar av olika storlekar (RSA-8192 och RSA-6144) med olika användar-ID och med certifikat som orsakar en SHA-1-kollision. inkluderade offrets ID och inkluderade namn och bild på angriparen. Dessutom, tack vare kollisionsval, hade nyckelidentifieringscertifikatet, inklusive nyckeln och angriparens bild, samma SHA-1-hash som identifieringscertifikatet, inklusive offrets nyckel och namn.
Angriparen kan begära en digital signatur för sin nyckel och bild från en tredje parts certifieringsmyndighet och sedan överföra den digitala signaturen för offrets nyckel. Den digitala signaturen förblir korrekt på grund av kollisionen och verifieringen av angriparens nyckel av en certifieringsmyndighet, vilket gör att angriparen kan få kontroll över nyckeln med offrets namn (eftersom SHA-1-hash för båda nycklarna är densamma). Som ett resultat kan angriparen utge sig för att vara offret och underteckna alla dokument å hennes vägnar.
Attacken är fortfarande ganska kostsam, men redan ganska överkomlig för underrättelsetjänster och stora företag. För ett enkelt kollisionsval med en billigare NVIDIA GTX 970 GPU var kostnaderna 11 tusen dollar, och för ett kollisionsval med ett givet prefix - 45 tusen dollar (för jämförelse, 2012 var kostnaderna för kollisionsval i SHA-1 uppskattas till 2 miljoner dollar och 2015 - 700 tusen). För att genomföra en praktisk attack på PGP tog det två månaders datoranvändning med 900 NVIDIA GTX 1060 GPU:er, vars hyra kostade forskarna 75 XNUMX dollar.
Den kollisionsdetekteringsmetod som forskarna föreslagit är ungefär 10 gånger effektivare än tidigare prestationer - komplexitetsnivån för kollisionsberäkningar reducerades till 261.2 operationer, istället för 264.7, och kollisioner med ett givet prefix till 263.4 operationer istället för 267.1. Forskarna rekommenderar att man byter från SHA-1 till att använda SHA-256 eller SHA-3 så snart som möjligt, eftersom de förutspår att kostnaden för en attack kommer att sjunka till $2025 10 år XNUMX.
GnuPG-utvecklarna underrättades om problemet den 1 oktober (CVE-2019-14855) och vidtog åtgärder för att blockera de problematiska certifikaten den 25 november i releasen av GnuPG 2.2.18 - alla SHA-1 digitala identitetssignaturer skapade efter den 19 januari förra året erkänns nu som felaktiga. CAcert, en av de viktigaste certifieringsmyndigheterna för PGP-nycklar, planerar att gå över till att använda säkrare hashfunktioner för nyckelcertifiering. OpenSSL-utvecklarna, som svar på information om en ny attackmetod, beslutade att inaktivera SHA-1 på den första standardnivån av säkerhet (SHA-1 kan inte användas för certifikat och digitala signaturer under anslutningsförhandlingsprocessen).
Källa: opennet.ru