Forskare från det franska nationella institutet för forskning inom informatik och automation (INRIA) och Nanyang Technological University (Singapore) förbättrats till SHA-1-algoritmen, vilket avsevärt förenklar skapandet av två olika dokument med samma SHA-1-hashar. Kärnan i metoden är att reducera driften av ett fullständigt kollisionsval i SHA-1 till , där en kollision inträffar när vissa prefix finns, oavsett resten av data i uppsättningen. Med andra ord, du kan beräkna två fördefinierade prefix och om du bifogar ett till ett dokument och det andra till ett andra, kommer de resulterande SHA-1-hasharna för dessa filer att vara desamma.
Denna typ av attack kräver fortfarande enorma beräkningar och valet av prefix är fortfarande mer komplicerat än det vanliga urvalet av kollisioner, men den praktiska effektiviteten av resultatet är betydligt högre. Medan den hittills snabbaste metoden för att hitta kollisionsprefix i SHA-1 krävde 277.1 operationer, minskar den nya metoden antalet beräkningar till ett intervall från 266.9 till 269.4. Med denna beräkningsnivå är den uppskattade kostnaden för en attack mindre än hundra tusen dollar, vilket är väl inom underrättelsetjänsternas och stora företags medel. Som jämförelse kräver sökandet efter en vanlig kollision ungefär 264.7 operationer.
В Googles förmåga att generera olika PDF-filer med samma SHA-1-hash ett knep som innebär att slå samman två dokument till en fil, byta det synliga lagret och flytta markeringen för lagerval till området där kollisionen inträffar. Med liknande resurskostnader (Google tillbringade ett år med beräkningar på ett kluster av 1 GPU: er för att hitta den första SHA-110-kollisionen), låter den nya metoden dig uppnå en SHA-1-matchning för två godtyckliga datamängder. På den praktiska sidan kan du förbereda TLS-certifikat som nämner olika domäner, men som har samma SHA-1-hashar. Den här funktionen tillåter en skrupelfri certifikatutfärdare att skapa ett certifikat för en digital signatur, som kan användas för att auktorisera fiktiva certifikat för godtyckliga domäner. Problemet kan också användas för att kompromissa med protokoll som är beroende av att undvika kollisioner, som TLS, SSH och IPsec.
Den föreslagna strategin för att söka prefix för kollisioner innebär att beräkningarna delas upp i två steg. Det första steget söker efter block som är på gränsen till en kollision genom att bädda in slumpmässiga kedjevariabler i en fördefinierad målskillnadsuppsättning. I det andra steget, på nivån för enskilda block, jämförs de resulterande kedjorna av skillnader med par av tillstånd som leder till kollisioner, med hjälp av metoder för traditionella kollisionsvalsattacker.
Trots det faktum att den teoretiska möjligheten till en attack mot SHA-1 bevisades redan 2005, och i praktiken var den första kollisionen 2017 är SHA-1 fortfarande i bruk och omfattas av vissa standarder och teknologier (TLS 1.2, Git, etc.). Huvudsyftet med det utförda arbetet var att ge ytterligare ett övertygande argument för ett omedelbart upphörande av användningen av SHA-1, särskilt i certifikat och digitala signaturer.
Dessutom kan det noteras kryptoanalys av blockchiffer , utvecklad av US NSA och godkänd som standard 2018 .
Forskarna kunde utveckla en metod för att återställa en privat nyckel baserad på två kända par av klartext och chiffertext. Med begränsade datorresurser tar valet av en nyckel från flera timmar till flera dagar. Den teoretiska framgångsgraden för attacken uppskattas till 0.25, och den praktiska för den befintliga prototypen är 0.025.
Källa: opennet.ru