Дослідники з французького державного інституту досліджень в інформатиці та автоматиці (INRIA) та Наньянського технологічного університету (Сінгапур) представили метод атаки
Метод заснований на проведенні
Новий метод відрізняється від схожих технік, що раніше пропонувалися, підвищенням ефективності пошуку колізії і демонстрацією практичного застосування для атаки на PGP. Зокрема, дослідники змогли підготувати два відкритих PGP-ключи різного розміру (RSA-8192 і RSA-6144) з ідентифікаторами користувача, що відрізняються, і з сертифікатами, що викликають колізію SHA-1.
Атакуючий міг запросити цифровий підпис для свого ключа та зображення у сторонньому центрі, що посвідчує, після чого перенести цифровий підпис для ключа жертви. Цифровий підпис залишається коректним через колізію і завірення ключа атакуючого центром, що засвідчує, що дозволяє атакуючому отримати контроль і за ключем з ім'ям жертви (бо SHA-1 хеш для обох ключів збігається). У результаті атакуючий може видати себе за жертву та підписати будь-який документ від її імені.
Атака поки що залишається досить витратною, але вже цілком по кишені спецслужбам та великим корпораціям. Для простого підбору колізії при використанні дешевшого GPU NVIDIA GTX 970 витрати склали 11 тисяч доларів, а для підбору колізії із заданим префіксом — 45 тисяч доларів (для порівняння у 2012 році витрати на підбір колізії в SHA-1 оцінювалися в 2 млн доларів, а у 2015 році – 700 тисяч). Для здійснення практичної атаки на PGP знадобилося два місяці обчислень із залученням 900 GPU NVIDIA GTX 1060, оренда яких коштувала дослідникам 75 тисяч доларів.
Запропонований дослідниками метод виявлення колізій приблизно в 10 разів ефективніший за минулі досягнення — рівень складності обчислень колізії вдалося звести до 261.2 операцій, замість 264.7, а колізії із заданим префіксом до 263.4 операцій замість 267.1. Дослідники рекомендують якнайшвидше перейти з SHA-1 на використання SHA-256 або SHA-3, оскільки за їх прогнозами у 2025 році вартість проведення атаки знизиться до 10 тисяч доларів.
Розробники GnuPG були повідомлені про проблему 1 жовтня (CVE-2019-14855) і 25 листопада у випуску GnuPG 2.2.18 вжили заходів для блокування проблемних сертифікатів — усі цифрові ідентифікуючі підписи SHA-1, створені після 19 січня минулого року. У CAcert, одному з основних центрів, що засвідчують для ключів PGP, планують перейти на застосування більш безпечних хеш-функцій для сертифікації ключів. Розробники OpenSSL у відповідь на інформацію про новий метод атаки вирішили відключити SHA-1 на пропонованому за умовчанням першому рівні безпеки (SHA-1 не можна буде використовувати для сертифікатів та цифрових підписів у процесі узгодження з'єднань).
Джерело: opennet.ru