Ang mga mananaliksik mula sa French State Institute for Research in Informatics and Automation (INRIA) at Nanyang Technological University (Singapore) ay nagpakita ng paraan ng pag-atake (), na sinasabing unang praktikal na pagpapatupad ng isang pag-atake sa SHA-1 algorithm na maaaring magamit upang lumikha ng mga pekeng PGP at GnuPG na mga digital na lagda. Naniniwala ang mga mananaliksik na ang lahat ng praktikal na pag-atake sa MD5 ay maaari na ngayong ilapat sa SHA-1, bagama't nangangailangan pa rin sila ng makabuluhang mapagkukunan upang maipatupad.
Ang pamamaraan ay batay sa pagsasagawa , na nagpapahintulot sa iyo na pumili ng mga karagdagan para sa dalawang arbitrary na set ng data, kapag naka-attach, ang output ay gagawa ng mga set na nagdudulot ng banggaan, ang aplikasyon ng SHA-1 na algorithm kung saan ay hahantong sa pagbuo ng parehong resultang hash. Sa madaling salita, para sa dalawang umiiral na dokumento, maaaring kalkulahin ang dalawang complement, at kung ang isa ay idinagdag sa unang dokumento at ang isa sa pangalawa, ang magreresultang SHA-1 na mga hash para sa mga file na ito ay magiging pareho.
Ang bagong pamamaraan ay naiiba mula sa dating iminungkahing katulad na mga diskarte sa pamamagitan ng pagtaas ng kahusayan ng paghahanap ng banggaan at pagpapakita ng praktikal na aplikasyon para sa pag-atake sa PGP. Sa partikular, nakapaghanda ang mga mananaliksik ng dalawang PGP public key na may iba't ibang laki (RSA-8192 at RSA-6144) na may iba't ibang user ID at may mga certificate na nagdudulot ng banggaan ng SHA-1. kasama ang victim ID, at kasama ang pangalan at larawan ng umaatake. Higit pa rito, salamat sa pagpili ng banggaan, ang sertipiko ng pagtukoy ng susi, kabilang ang susi at larawan ng umaatake, ay may parehong SHA-1 na hash bilang sertipiko ng pagkakakilanlan, kabilang ang susi at pangalan ng biktima.
Maaaring humiling ang attacker ng digital signature para sa kanyang susi at larawan mula sa isang third-party na awtoridad sa certification, at pagkatapos ay ilipat ang digital signature para sa susi ng biktima. Nananatiling tama ang digital signature dahil sa pagbangga at pag-verify ng susi ng attacker ng isang awtoridad sa certification, na nagbibigay-daan sa attacker na makontrol ang key na may pangalan ng biktima (dahil ang SHA-1 hash para sa parehong key ay pareho). Bilang resulta, ang umaatake ay maaaring magpanggap bilang biktima at pumirma ng anumang dokumento sa ngalan niya.
Medyo magastos pa rin ang pag-atake, ngunit medyo abot-kaya na para sa mga serbisyo ng paniktik at malalaking korporasyon. Para sa isang simpleng pagpili ng banggaan gamit ang isang mas mura NVIDIA GTX 970 GPU, ang mga gastos ay 11 libong dolyar, at para sa isang pagpili ng banggaan na may isang naibigay na prefix - 45 libong dolyar (para sa paghahambing, noong 2012 ang mga gastos para sa pagpili ng banggaan sa SHA-1 ay tinantya sa 2 milyong dolyar, at sa 2015 - 700 libo). Upang magsagawa ng praktikal na pag-atake sa PGP, tumagal ng dalawang buwan ng pag-compute gamit ang 900 NVIDIA GTX 1060 GPU, ang pagrenta nito ay nagkakahalaga ng mga mananaliksik ng $75.
Ang paraan ng pagtuklas ng banggaan na iminungkahi ng mga mananaliksik ay humigit-kumulang 10 beses na mas epektibo kaysa sa mga nakaraang tagumpay - ang antas ng pagiging kumplikado ng mga kalkulasyon ng banggaan ay nabawasan sa 261.2 na operasyon, sa halip na 264.7, at mga banggaan na may ibinigay na prefix sa 263.4 na operasyon sa halip na 267.1. Inirerekomenda ng mga mananaliksik ang paglipat mula sa SHA-1 patungo sa paggamit ng SHA-256 o SHA-3 sa lalong madaling panahon, dahil hinuhulaan nila na ang halaga ng isang pag-atake ay bababa sa $2025 sa 10.
Naabisuhan ang mga developer ng GnuPG tungkol sa problema noong Oktubre 1 (CVE-2019-14855) at nagsagawa ng aksyon upang harangan ang mga may problemang certificate noong Nobyembre 25 sa paglabas ng GnuPG 2.2.18 - lahat ng SHA-1 digital identity signature na ginawa pagkatapos ng Enero 19 ng ang nakaraang taon ay kinikilala na ngayon bilang hindi tama. Ang CAcert, isa sa mga pangunahing awtoridad sa sertipikasyon para sa mga PGP key, ay nagpaplanong lumipat sa paggamit ng mas secure na hash function para sa key certification. Ang mga developer ng OpenSSL, bilang tugon sa impormasyon tungkol sa isang bagong paraan ng pag-atake, ay nagpasya na huwag paganahin ang SHA-1 sa default na unang antas ng seguridad (hindi magagamit ang SHA-1 para sa mga sertipiko at digital na lagda sa panahon ng proseso ng negosasyon sa koneksyon).
Pinagmulan: opennet.ru