Дослідники з французького державного інституту досліджень в інформатиці та автоматиці (INRIA) та Наньянського технологічного університету (Сінгапур) представили метод атаки (), який подається як перша практична реалізація атаки на алгоритм SHA-1, яку можна використовувати для створення фіктивних цифрових підписів PGP та GnuPG. Дослідники вважають, що тепер всі практичні атаки на MD5 можуть застосовуватися і для SHA-1, хоча поки що все ще вимагають значних ресурсів для здійснення.
Метод заснований на проведенні , що дозволяє для двох довільних наборів даних підібрати доповнення, при прикріпленні яких на виході вийдуть набори, що викликають колізію, застосування алгоритму SHA-1 для яких призведе до формування одного і того ж результуючого хеша. Іншими словами, для двох існуючих документів можна обчислити два доповнення, і якщо одне приєднати до першого документа, а інше до другого — хеші SHA-1, що результують, для цих файлів будуть однакові.
Новий метод відрізняється від схожих технік, що раніше пропонувалися, підвищенням ефективності пошуку колізії і демонстрацією практичного застосування для атаки на PGP. Зокрема, дослідники змогли підготувати два відкритих PGP-ключи різного розміру (RSA-8192 і RSA-6144) з ідентифікаторами користувача, що відрізняються, і з сертифікатами, що викликають колізію SHA-1. включав ідентифікатор жертви, а включав ім'я та зображення атакуючого. При цьому завдяки підбору колізії сертифікат, що ідентифікує ключі, що включає ключ і зображення атакуючого, мав той же SHA-1 хеш, що і ідентифікаційний сертифікат, що включає ключ та ім'я жертви.
Атакуючий міг запросити цифровий підпис для свого ключа та зображення у сторонньому центрі, що посвідчує, після чого перенести цифровий підпис для ключа жертви. Цифровий підпис залишається коректним через колізію і завірення ключа атакуючого центром, що засвідчує, що дозволяє атакуючому отримати контроль і за ключем з ім'ям жертви (бо SHA-1 хеш для обох ключів збігається). У результаті атакуючий може видати себе за жертву та підписати будь-який документ від її імені.
Атака поки що залишається досить витратною, але вже цілком по кишені спецслужбам та великим корпораціям. Для простого підбору колізії при використанні дешевшого GPU NVIDIA GTX 970 витрати склали 11 тисяч доларів, а для підбору колізії із заданим префіксом — 45 тисяч доларів (для порівняння у 2012 році витрати на підбір колізії в SHA-1 оцінювалися в 2 млн доларів, а у 2015 році – 700 тисяч). Для здійснення практичної атаки на PGP знадобилося два місяці обчислень із залученням 900 GPU NVIDIA GTX 1060, оренда яких коштувала дослідникам 75 тисяч доларів.
Запропонований дослідниками метод виявлення колізій приблизно в 10 разів ефективніший за минулі досягнення — рівень складності обчислень колізії вдалося звести до 261.2 операцій, замість 264.7, а колізії із заданим префіксом до 263.4 операцій замість 267.1. Дослідники рекомендують якнайшвидше перейти з SHA-1 на використання SHA-256 або SHA-3, оскільки за їх прогнозами у 2025 році вартість проведення атаки знизиться до 10 тисяч доларів.
Розробники GnuPG були повідомлені про проблему 1 жовтня (CVE-2019-14855) і 25 листопада у випуску GnuPG 2.2.18 вжили заходів для блокування проблемних сертифікатів — усі цифрові ідентифікуючі підписи SHA-1, створені після 19 січня минулого року. У CAcert, одному з основних центрів, що засвідчують для ключів PGP, планують перейти на застосування більш безпечних хеш-функцій для сертифікації ключів. Розробники OpenSSL у відповідь на інформацію про новий метод атаки вирішили відключити SHA-1 на пропонованому за умовчанням першому рівні безпеки (SHA-1 не можна буде використовувати для сертифікатів та цифрових підписів у процесі узгодження з'єднань).
Джерело: opennet.ru