Frantsiya Davlat Informatika va Avtomatlashtirish Tadqiqot Instituti (INRIA) va Nanyang Texnologiya Universiteti (Singapur) tadqiqotchilari hujum usulini taqdim etdilar. (), bu soxta PGP va GnuPG raqamli imzolarini yaratish uchun ishlatilishi mumkin bo'lgan SHA-1 algoritmiga hujumning birinchi amaliy amalga oshirilishi sifatida e'tirof etilgan. Tadqiqotchilarning fikriga ko'ra, MD5 ga barcha amaliy hujumlar endi SHA-1 ga qo'llanilishi mumkin, ammo ularni amalga oshirish uchun hali ham katta resurslar kerak bo'ladi.
Usul amalga oshirishga asoslangan , bu sizga ikkita ixtiyoriy ma'lumotlar to'plami uchun qo'shimchalarni tanlash imkonini beradi, biriktirilganda, chiqish to'qnashuvga olib keladigan to'plamlarni ishlab chiqaradi, SHA-1 algoritmini qo'llash bir xil natijada hosil bo'lishiga olib keladi. Boshqacha qilib aytganda, ikkita mavjud hujjat uchun ikkita to'ldiruvchini hisoblash mumkin va agar biri birinchi hujjatga, ikkinchisi ikkinchisiga qo'shilsa, ushbu fayllar uchun SHA-1 xeshlari bir xil bo'ladi.
Yangi usul ilgari taklif qilingan shunga o'xshash usullardan to'qnashuvlarni qidirish samaradorligini oshirish va PGPga hujum qilish uchun amaliy qo'llanilishini ko'rsatish bilan farq qiladi. Xususan, tadqiqotchilar turli xil o'lchamdagi ikkita PGP ochiq kalitini (RSA-8192 va RSA-6144) turli foydalanuvchi identifikatorlari va SHA-1 to'qnashuviga olib keladigan sertifikatlar bilan tayyorlashga muvaffaq bo'lishdi. jabrlanuvchi identifikatori kiritilgan va hujumchining ismi va surati kiritilgan. Bundan tashqari, to'qnashuvni tanlash tufayli kalitni identifikatsiyalash sertifikati, shu jumladan kalit va tajovuzkorning tasviri, identifikatsiya sertifikati bilan bir xil SHA-1 xeshiga, shu jumladan jabrlanuvchining kaliti va ismiga ega edi.
Buzg'unchi uchinchi tomon sertifikatlash organidan o'z kaliti va tasviri uchun raqamli imzoni so'rashi va keyin jabrlanuvchining kaliti uchun raqamli imzoni uzatishi mumkin. Raqamli imzo tajovuzkor kalitining sertifikatlash organi tomonidan to'qnashuvi va tekshiruvi tufayli to'g'ri bo'lib qoladi, bu tajovuzkorga jabrlanuvchining nomi bilan kalitni nazorat qilish imkonini beradi (chunki ikkala kalit uchun SHA-1 xeshi bir xil). Natijada, tajovuzkor jabrlanuvchining oβzini namoyon qilishi va uning nomidan istalgan hujjatni imzolashi mumkin.
Hujum hali ham ancha qimmat, ammo razvedka xizmatlari va yirik korporatsiyalar uchun anchagina qulay. Arzonroq NVIDIA GTX 970 GPU yordamida oddiy to'qnashuvni tanlash uchun xarajatlar 11 ming dollarni va berilgan prefiks bilan to'qnashuvni tanlash uchun - 45 ming dollarni tashkil etdi (taqqoslash uchun, 2012 yilda SHA-1-da to'qnashuvni tanlash xarajatlari taxmin qilingan edi. 2 million dollar, 2015 yilda esa 700 ming). PGPga amaliy hujumni amalga oshirish uchun 900 ta NVIDIA GTX 1060 GPU yordamida ikki oylik hisoblash talab qilindi, ularning ijarasi tadqiqotchilarga 75 XNUMX dollarga tushdi.
Tadqiqotchilar tomonidan taklif qilingan to'qnashuvni aniqlash usuli oldingi yutuqlarga qaraganda taxminan 10 baravar samaraliroq - to'qnashuvni hisoblashning murakkablik darajasi 261.2 o'rniga 264.7 operatsiyaga va berilgan prefiks bilan to'qnashuvlar 263.4 o'rniga 267.1 operatsiyaga kamaydi. Tadqiqotchilar imkon qadar tezroq SHA-1 dan SHA-256 yoki SHA-3 dan foydalanishga oβtishni tavsiya qilmoqdalar, chunki ular hujum narxi 2025 yilga kelib 10 XNUMX dollargacha tushishini taxmin qilmoqdalar.
GnuPG ishlab chiquvchilari muammo haqida 1-oktabrda xabardor qilingan (CVE-2019-14855) va 25-noyabr kuni GnuPG 2.2.18-ning chiqarilishida muammoli sertifikatlarni bloklash choralarini koβrdilar - 1-yanvardan keyin yaratilgan barcha SHA-19 raqamli identifikatsiya imzolari. o'tgan yil endi noto'g'ri deb tan olingan. PGP kalitlarini sertifikatlashning asosiy organlaridan biri bo'lgan CAcert kalitlarni sertifikatlash uchun xavfsizroq xesh funksiyalaridan foydalanishga o'tishni rejalashtirmoqda. OpenSSL ishlab chiquvchilari, yangi hujum usuli haqidagi ma'lumotlarga javoban, SHA-1ni xavfsizlikning standart birinchi darajasida o'chirishga qaror qilishdi (SHA-1 ulanish muzokaralari jarayonida sertifikatlar va raqamli imzolar uchun ishlatilmaydi).
Manba: opennet.ru