นักวิจัยจากสถาบันวิจัยสารสนเทศและระบบอัตโนมัติแห่งรัฐฝรั่งเศส (INRIA) และมหาวิทยาลัยเทคโนโลยีนันยาง (สิงคโปร์) นำเสนอวิธีการโจมตี () ซึ่งได้รับการขนานนามว่าเป็นการใช้งานจริงครั้งแรกของการโจมตีอัลกอริทึม SHA-1 ซึ่งสามารถใช้เพื่อสร้างลายเซ็นดิจิทัล PGP และ GnuPG ปลอมได้ นักวิจัยเชื่อว่าการโจมตีเชิงปฏิบัติทั้งหมดบน MD5 สามารถนำไปใช้กับ SHA-1 ได้ แม้ว่าจะยังต้องการทรัพยากรที่สำคัญในการดำเนินการก็ตาม
วิธีการจะขึ้นอยู่กับการดำเนินการ ซึ่งช่วยให้คุณสามารถเลือกส่วนเพิ่มเติมสำหรับชุดข้อมูลสองชุดที่กำหนดเองได้ เมื่อแนบแล้ว เอาต์พุตจะสร้างชุดที่ทำให้เกิดการชนกัน ซึ่งเป็นการใช้อัลกอริธึม SHA-1 ซึ่งจะนำไปสู่การก่อตัวของแฮชผลลัพธ์เดียวกัน กล่าวอีกนัยหนึ่ง สำหรับเอกสารที่มีอยู่สองฉบับ สามารถคำนวณส่วนเสริมสองรายการได้ และหากมีเอกสารหนึ่งต่อท้ายเอกสารฉบับแรกและอีกเอกสารหนึ่งต่อท้ายเอกสารที่สอง ผลลัพธ์แฮช SHA-1 สำหรับไฟล์เหล่านี้จะเหมือนกัน
วิธีการใหม่นี้แตกต่างจากเทคนิคที่คล้ายกันที่นำเสนอก่อนหน้านี้ โดยการเพิ่มประสิทธิภาพในการค้นหาการชนกัน และสาธิตการใช้งานจริงสำหรับการโจมตี PGP โดยเฉพาะอย่างยิ่ง นักวิจัยสามารถเตรียมคีย์สาธารณะ PGP สองตัวที่มีขนาดต่างกัน (RSA-8192 และ RSA-6144) ด้วยรหัสผู้ใช้ที่แตกต่างกันและมีใบรับรองที่ทำให้เกิดการชนกันของ SHA-1 รวมถึงรหัสเหยื่อและ รวมถึงชื่อและรูปภาพของผู้โจมตี นอกจากนี้ ต้องขอบคุณการเลือกการชนกัน ใบรับรองการระบุคีย์ ซึ่งรวมถึงคีย์และรูปภาพของผู้โจมตี มีแฮช SHA-1 เหมือนกับใบรับรองการระบุตัวตน ซึ่งรวมถึงคีย์และชื่อของเหยื่อด้วย
ผู้โจมตีสามารถขอลายเซ็นดิจิทัลสำหรับคีย์และรูปภาพของเขาจากหน่วยงานออกใบรับรองบุคคลที่สาม จากนั้นจึงถ่ายโอนลายเซ็นดิจิทัลสำหรับคีย์ของเหยื่อ ลายเซ็นดิจิทัลยังคงถูกต้องเนื่องจากการชนกันและการตรวจสอบคีย์ของผู้โจมตีโดยหน่วยงานออกใบรับรอง ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมคีย์ด้วยชื่อของเหยื่อได้ (เนื่องจากแฮช SHA-1 สำหรับคีย์ทั้งสองเหมือนกัน) เป็นผลให้ผู้โจมตีสามารถปลอมตัวเป็นเหยื่อและลงนามในเอกสารใด ๆ ในนามของเธอได้
การโจมตียังคงมีค่าใช้จ่ายค่อนข้างสูง แต่ก็มีราคาไม่แพงสำหรับหน่วยข่าวกรองและองค์กรขนาดใหญ่ สำหรับการเลือกการชนกันอย่างง่ายโดยใช้ GPU NVIDIA GTX 970 ที่ราคาถูกกว่านั้นมีราคาอยู่ที่ 11 ดอลลาร์และสำหรับการเลือกการชนกันด้วยคำนำหน้าที่กำหนด - 45 ดอลลาร์ (สำหรับการเปรียบเทียบในปี 2012 ได้มีการประมาณต้นทุนสำหรับการเลือกการชนกันใน SHA-1 ที่ 2 ล้านดอลลาร์และในปี 2015 - 700) ในการโจมตี PGP ในทางปฏิบัตินั้น ต้องใช้เวลาสองเดือนในการประมวลผลโดยใช้ GPU NVIDIA GTX 900 จำนวน 1060 ตัว ซึ่งค่าเช่านักวิจัยอยู่ที่ 75 ดอลลาร์
วิธีการตรวจจับการชนที่เสนอโดยนักวิจัยนั้นมีประสิทธิภาพมากกว่าความสำเร็จก่อนหน้านี้ประมาณ 10 เท่า โดยระดับความซับซ้อนของการคำนวณการชนลดลงเหลือ 261.2 การดำเนินการ แทนที่จะเป็น 264.7 และการชนที่มีคำนำหน้าที่กำหนดเป็น 263.4 แทนที่จะเป็น 267.1 นักวิจัยแนะนำให้เปลี่ยนจาก SHA-1 ไปใช้ SHA-256 หรือ SHA-3 โดยเร็วที่สุด เนื่องจากพวกเขาคาดการณ์ว่าต้นทุนของการโจมตีจะลดลงเหลือ 2025 ดอลลาร์ภายในปี 10
นักพัฒนา GnuPG ได้รับแจ้งถึงปัญหาในวันที่ 1 ตุลาคม (CVE-2019-14855) และดำเนินการบล็อกใบรับรองที่มีปัญหาในวันที่ 25 พฤศจิกายนในการเปิดตัว GnuPG 2.2.18 - ลายเซ็นดิจิทัลประจำตัว SHA-1 ทั้งหมดที่สร้างขึ้นหลังวันที่ 19 มกราคม ปีที่แล้วได้รับการยอมรับว่าไม่ถูกต้อง CAcert ซึ่งเป็นหนึ่งในหน่วยงานออกใบรับรองหลักสำหรับคีย์ PGP วางแผนที่จะเปลี่ยนไปใช้ฟังก์ชันแฮชที่ปลอดภัยยิ่งขึ้นสำหรับการรับรองคีย์ นักพัฒนา OpenSSL ตอบสนองต่อข้อมูลเกี่ยวกับวิธีการโจมตีใหม่ ตัดสินใจปิดการใช้งาน SHA-1 ที่ระดับความปลอดภัยเริ่มต้นเริ่มต้น (ไม่สามารถใช้ SHA-1 สำหรับใบรับรองและลายเซ็นดิจิทัลในระหว่างกระบวนการเจรจาการเชื่อมต่อ)
ที่มา: opennet.ru