Fransız Devlet Bilişim ve Otomasyon Araştırma Enstitüsü (INRIA) ve Nanyang Teknoloji Üniversitesi'nden (Singapur) araştırmacılar bir saldırı yöntemi sundular (), sahte PGP ve GnuPG dijital imzaları oluşturmak için kullanılabilecek SHA-1 algoritmasına yönelik bir saldırının ilk pratik uygulaması olarak lanse ediliyor. Araştırmacılar, MD5'e yönelik tüm pratik saldırıların artık SHA-1'e uygulanabileceğine inanıyor, ancak bunların uygulanması hala önemli miktarda kaynak gerektiriyor.
Yöntem, gerçekleştirmeye dayalıdır. İki rastgele veri seti için eklemeler seçmenize olanak tanıyan, eklendiğinde çıktı, çarpışmaya neden olan setler üretecek ve SHA-1 algoritmasının uygulanması, aynı sonuçtaki karmanın oluşmasına yol açacaktır. Başka bir deyişle, mevcut iki belge için iki tamamlayıcı hesaplanabilir ve biri birinci belgeye, diğeri ikinciye eklenirse, bu dosyalar için elde edilen SHA-1 karmaları aynı olacaktır.
Yeni yöntem, çarpışma aramanın verimliliğini arttırması ve PGP'ye saldırmak için pratik uygulama göstermesi açısından daha önce önerilen benzer tekniklerden farklıdır. Özellikle araştırmacılar, SHA-8192 çarpışmasına neden olan farklı kullanıcı kimliklerine ve sertifikalara sahip, farklı boyutlarda (RSA-6144 ve RSA-1) iki PGP ortak anahtarı hazırlamayı başardılar. kurbanın kimliğini içeriyordu ve Saldırganın adı ve resmi yer aldı. Üstelik, çarpışma seçimi sayesinde, anahtar ve saldırganın resmi de dahil olmak üzere anahtar tanımlayıcı sertifika, kurbanın anahtarı ve adı da dahil olmak üzere kimlik sertifikasıyla aynı SHA-1 hash'ına sahipti.
Saldırgan, üçüncü taraf bir sertifika yetkilisinden anahtarı ve görüntüsü için dijital imza talep edebilir ve ardından kurbanın anahtarının dijital imzasını aktarabilir. Saldırganın anahtarının bir sertifika yetkilisi tarafından çarpılması ve doğrulanması nedeniyle dijital imza doğru kalır, bu da saldırganın kurbanın adıyla anahtarın kontrolünü ele geçirmesine olanak tanır (çünkü her iki anahtarın SHA-1 karması aynıdır). Sonuç olarak saldırgan, mağdurun kimliğine bürünebilir ve onun adına herhangi bir belgeyi imzalayabilir.
Saldırı hâlâ oldukça maliyetli ancak istihbarat servisleri ve büyük şirketler için zaten oldukça uygun fiyatlı. Daha ucuz bir NVIDIA GTX 970 GPU kullanan basit bir çarpışma seçimi için maliyetler 11 bin dolardı ve belirli bir önekle çarpışma seçimi için - 45 bin dolardı (karşılaştırma için, 2012'de SHA-1'deki çarpışma seçiminin maliyetleri tahmin edildi) 2 milyon dolar ve 2015'te - 700 bin). PGP'ye pratik bir saldırı gerçekleştirmek için, 900 NVIDIA GTX 1060 GPU'yu kullanarak iki ay boyunca hesaplama yapmak gerekti ve bunların kiralanması araştırmacılara 75 dolara mal oldu.
Araştırmacılar tarafından önerilen çarpışma tespit yöntemi, önceki başarılardan yaklaşık 10 kat daha etkilidir - çarpışma hesaplamalarının karmaşıklık düzeyi 261.2 yerine 264.7 operasyona ve belirli bir önekle çarpışmalar 263.4 yerine 267.1 operasyona düşürüldü. Araştırmacılar, bir saldırının maliyetinin 1 yılına kadar 256 dolara düşeceğini öngördüklerinden, mümkün olan en kısa sürede SHA-3'den SHA-2025 veya SHA-10'e geçmeyi öneriyorlar.
GnuPG geliştiricileri sorun hakkında 1 Ekim'de bilgilendirildi (CVE-2019-14855) ve 25 Kasım'da GnuPG 2.2.18'in (1 Ocak'tan sonra oluşturulan tüm SHA-19 dijital kimlik imzaları) sürümündeki sorunlu sertifikaları engellemek için harekete geçtiler. geçen yılın verileri artık yanlış olarak kabul ediliyor. PGP anahtarları için ana sertifika yetkililerinden biri olan CAcert, anahtar sertifikasyonu için daha güvenli karma işlevlerini kullanmaya geçmeyi planlıyor. OpenSSL geliştiricileri, yeni bir saldırı yöntemi hakkındaki bilgilere yanıt olarak, varsayılan birinci güvenlik düzeyinde SHA-1'i devre dışı bırakmaya karar verdi (SHA-1, bağlantı anlaşması sürecinde sertifikalar ve dijital imzalar için kullanılamaz).
Kaynak: opennet.ru