Các nhà nghiên cứu từ Viện Nghiên cứu Tin học và Tự động hóa Nhà nước Pháp (INRIA) và Đại học Công nghệ Nanyang ( Singapore) đã trình bày một phương thức tấn công (), được quảng cáo là triển khai thực tế đầu tiên của một cuộc tấn công vào thuật toán SHA-1 có thể được sử dụng để tạo chữ ký số PGP và GnuPG giả. Các nhà nghiên cứu tin rằng tất cả các cuộc tấn công thực tế vào MD5 hiện có thể được áp dụng cho SHA-1, mặc dù chúng vẫn cần nguồn lực đáng kể để thực hiện.
Phương pháp này dựa trên việc thực hiện , cho phép bạn chọn phần bổ sung cho hai tập dữ liệu tùy ý, khi được đính kèm, đầu ra sẽ tạo ra các tập hợp gây ra xung đột, việc áp dụng thuật toán SHA-1 sẽ dẫn đến hình thành cùng một kết quả băm. Nói cách khác, đối với hai tài liệu hiện có, có thể tính toán hai phần bù và nếu một phần được thêm vào tài liệu đầu tiên và phần còn lại vào tài liệu thứ hai thì kết quả băm SHA-1 cho các tệp này sẽ giống nhau.
Phương pháp mới khác với các kỹ thuật tương tự được đề xuất trước đây ở chỗ tăng hiệu quả tìm kiếm xung đột và thể hiện ứng dụng thực tế để tấn công PGP. Đặc biệt, các nhà nghiên cứu có thể chuẩn bị hai khóa công khai PGP có kích thước khác nhau (RSA-8192 và RSA-6144) với các ID người dùng khác nhau và có chứng chỉ gây ra xung đột SHA-1. bao gồm ID nạn nhân và bao gồm tên và hình ảnh của kẻ tấn công. Hơn nữa, nhờ lựa chọn xung đột, chứng chỉ nhận dạng khóa, bao gồm khóa và hình ảnh của kẻ tấn công, có cùng hàm băm SHA-1 giống như chứng chỉ nhận dạng, bao gồm cả khóa và tên của nạn nhân.
Kẻ tấn công có thể yêu cầu chữ ký số cho khóa và hình ảnh của mình từ cơ quan chứng nhận bên thứ ba, sau đó chuyển chữ ký số cho khóa của nạn nhân. Chữ ký số vẫn chính xác do có sự xung đột và xác minh khóa của kẻ tấn công bởi cơ quan chứng nhận, điều này cho phép kẻ tấn công giành quyền kiểm soát khóa bằng tên của nạn nhân (vì hàm băm SHA-1 cho cả hai khóa là như nhau). Do đó, kẻ tấn công có thể mạo danh nạn nhân và ký bất kỳ tài liệu nào thay mặt cô ấy.
Cuộc tấn công vẫn còn khá tốn kém nhưng lại khá hợp lý đối với các cơ quan tình báo và các tập đoàn lớn. Đối với lựa chọn va chạm đơn giản sử dụng GPU NVIDIA GTX 970 rẻ hơn, chi phí là 11 nghìn đô la và đối với lựa chọn va chạm với tiền tố nhất định - 45 nghìn đô la (để so sánh, vào năm 2012, chi phí cho lựa chọn va chạm trong SHA-1 đã được ước tính ở mức 2 triệu đô la và năm 2015 - 700 nghìn). Để thực hiện một cuộc tấn công thực tế vào PGP, các nhà nghiên cứu phải mất hai tháng tính toán sử dụng 900 GPU NVIDIA GTX 1060, chi phí thuê của các nhà nghiên cứu là 75 USD.
Phương pháp phát hiện va chạm do các nhà nghiên cứu đề xuất có hiệu quả gấp khoảng 10 lần so với những thành tựu trước đó - mức độ phức tạp của việc tính toán va chạm đã giảm xuống còn 261.2 phép tính, thay vì 264.7 và các va chạm có tiền tố nhất định thành các phép toán 263.4 thay vì 267.1. Các nhà nghiên cứu khuyên bạn nên chuyển từ SHA-1 sang sử dụng SHA-256 hoặc SHA-3 càng sớm càng tốt vì họ dự đoán rằng chi phí của một cuộc tấn công sẽ giảm xuống còn 2025 USD vào năm 10.
Các nhà phát triển GnuPG đã được thông báo về sự cố vào ngày 1 tháng 2019 (CVE-14855-25) và đã thực hiện hành động chặn các chứng chỉ có vấn đề vào ngày 2.2.18 tháng 1 trong bản phát hành GnuPG 19 - tất cả các chữ ký nhận dạng kỹ thuật số SHA-1 được tạo sau ngày 1 tháng XNUMX năm XNUMX. năm ngoái bây giờ được công nhận là không chính xác. CAcert, một trong những cơ quan chứng nhận chính cho khóa PGP, có kế hoạch chuyển sang sử dụng các hàm băm an toàn hơn cho chứng nhận khóa. Các nhà phát triển OpenSSL, trước thông tin về phương thức tấn công mới, đã quyết định vô hiệu hóa SHA-XNUMX ở mức bảo mật mặc định đầu tiên (SHA-XNUMX không thể được sử dụng cho chứng chỉ và chữ ký số trong quá trình đàm phán kết nối).
Nguồn: opennet.ru
