Муҳаққиқони Донишкадаи давлатии Фаронса оид ба тадқиқоти информатика ва автоматика (INRIA) ва Донишгоҳи технологии Нанянг (Сингапур) усули ҳамларо муаррифӣ карданд.
Усул ба иҷро асос ёфтааст
Усули нав аз усулҳои шабеҳи қаблан пешниҳодшуда бо баланд бардоштани самаранокии ҷустуҷӯи бархӯрд ва нишон додани татбиқи амалии ҳамла ба PGP фарқ мекунад. Аз ҷумла, муҳаққиқон тавонистанд ду калиди ҷамъиятии PGP-и андозаҳои гуногунро (RSA-8192 ва RSA-6144) бо ID-и корбарони гуногун ва сертификатҳое, ки боиси бархӯрди SHA-1 мешаванд, омода кунанд.
Ҳамлагар метавонад аз як мақоми сертификатсияи тарафи сеюм имзои рақамиро барои калид ва тасвири худ дархост кунад ва сипас имзои рақамиро барои калиди ҷабрдида интиқол диҳад. Имзои рақамӣ аз сабаби бархӯрд ва тафтиши калиди ҳамлагар аз ҷониби мақомоти сертификатсия дуруст боқӣ мемонад, ки ба ҳамлакунанда имкон медиҳад, ки калидро бо номи ҷабрдида назорат кунад (зеро ҳеши SHA-1 барои ҳарду калид якхела аст). Дар натиҷа, ҳамлагар метавонад ба ҷабрдида тақлид кунад ва аз номи ӯ ҳама гуна ҳуҷҷатро имзо кунад.
Ҳамла ҳоло ҳам хеле гарон аст, аммо аллакай барои хадамоти иктишофӣ ва корпоратсияҳои калон хеле дастрас аст. Барои интихоби оддии бархӯрд бо истифода аз GPU арзонтари NVIDIA GTX 970, хароҷот 11 ҳазор доллар ва барои интихоби бархӯрд бо префикси додашуда 45 ҳазор долларро ташкил дод (барои муқоиса, дар соли 2012 хароҷот барои интихоби бархӯрд дар SHA-1 ҳисоб карда шуда буд. 2 миллион доллар ва дар соли 2015 - 700 ҳазор). Барои анҷом додани ҳамлаи амалӣ ба PGP, ду моҳ бо истифода аз 900 NVIDIA GTX 1060 GPU, ки иҷораи онҳо ба муҳаққиқон 75 XNUMX доллар арзиш дошт, лозим шуд.
Усули ошкорсозии бархӯрд, ки аз ҷониби муҳаққиқон пешниҳод шудааст, нисбат ба дастовардҳои қаблӣ тақрибан 10 маротиба самараноктар аст - сатҳи мураккабии ҳисобҳои бархӯрд ба ҷои 261.2 ба 264.7 амалиёт ва бархӯрд бо префикси додашуда ба ҷои 263.4 ба 267.1 амалиёт кам карда шуд. Муҳаққиқон тавсия медиҳанд, ки ҳарчи зудтар аз SHA-1 ба истифодаи SHA-256 ё SHA-3 гузаред, зеро онҳо пешгӯӣ мекунанд, ки арзиши ҳамла то соли 2025 то 10 XNUMX доллар коҳиш хоҳад ёфт.
Таҳиягарони GnuPG дар бораи мушкилот рӯзи 1 октябр огоҳ карда шуданд (CVE-2019-14855) ва барои бастани шаҳодатномаҳои мушкилот дар 25 ноябр дар нашри GnuPG 2.2.18 - ҳама имзоҳои рақамии SHA-1, ки пас аз 19 январи соли соли гузашта холо нодуруст эътироф карда шудаанд. CAcert, яке аз мақомоти асосии сертификатсия барои калидҳои PGP, нақша дорад, ки ба истифодаи функсияҳои хэшии бехатар барои сертификатсияи калид гузарад. Таҳиягарони OpenSSL, дар посух ба маълумот дар бораи усули нави ҳамла, тасмим гирифтанд, ки SHA-1-ро дар сатҳи пешфарзии амният хомӯш кунанд (SHA-1 дар ҷараёни музокироти пайвастшавӣ барои сертификатҳо ва имзоҳои рақамӣ истифода намешавад).
Манбаъ: opennet.ru