法國國家資訊學與自動化研究所(INRIA)和南洋理工大學(新加坡)的研究人員提出了一種攻擊方法 (),這被認為是對 SHA-1 演算法攻擊的第一個實際實現,可用於創建偽造的 PGP 和 GnuPG 數位簽章。 研究人員認為,所有針對 MD5 的實際攻擊現在都可以應用於 SHA-1,儘管它們仍然需要大量資源來實施。
該方法基於執行 ,它允許您為兩個任意資料集選擇添加,附加時,輸出將產生導致衝突的集,對其應用 SHA-1 演算法將導致形成相同的結果雜湊。 換句話說,對於兩個現有文檔,可以計算兩個補碼,如果一個附加到第一個文檔,另一個附加到第二個文檔,則這些文件的 SHA-1 哈希值將相同。
新方法與先前提出的類似技術不同,它提高了碰撞搜尋的效率並展示了攻擊 PGP 的實際應用。 特別是,研究人員能夠使用不同的使用者 ID 和導致 SHA-8192 衝突的憑證來準備兩個不同大小的 PGP 公鑰(RSA-6144 和 RSA-1)。 包括受害者 ID,以及 包括攻擊者的姓名和圖像。 此外,由於衝突選擇,金鑰識別憑證(包括金鑰和攻擊者的圖像)與識別憑證(包括受害者的金鑰和姓名)具有相同的 SHA-1 雜湊值。
攻擊者可以向第三方憑證授權單位請求其金鑰和影像的數位簽名,然後傳輸受害者金鑰的數位簽名。 由於憑證授權單位對攻擊者金鑰的碰撞和驗證,數位簽章保持正確,這使得攻擊者可以使用受害者的姓名來控制金鑰(因為兩個金鑰的 SHA-1 雜湊值相同)。 因此,攻擊者可以冒充受害者並代表她簽署任何文件。
這種攻擊的成本仍然相當高,但對於情報部門和大公司來說已經相當負擔得起。 對於使用更便宜的 NVIDIA GTX 970 GPU 的簡單碰撞選擇,成本為 11 美元,對於具有給定前綴的碰撞選擇,成本為 45 美元(作為比較,2012 年估計了 SHA-1 中碰撞選擇的成本) 2萬美元,2015 年為700 萬美元)。 為了對 PGP 進行實際攻擊,需要使用 900 個 NVIDIA GTX 1060 GPU 進行兩個月的計算,研究人員的租金為 75 美元。
研究人員提出的碰撞偵測方法比先前的成果有效約10倍——碰撞計算的複雜度從261.2次減少到264.7次操作,給定前綴的碰撞從263.4次減少到267.1次操作。 研究人員建議盡快從 SHA-1 切換到使用 SHA-256 或 SHA-3,因為他們預測到 2025 年攻擊成本將降至 10 美元。
GnuPG 開發人員於1 月2019 日收到有關該問題的通知(CVE-14855-25),並於2.2.18 月1 日採取行動,在GnuPG 19 的發布中阻止了有問題的證書——所有SHA -1 數位身分簽名都是在1 月XNUMX 日之後創建的。去年的結果現在被認為是不正確的。 CAcert 是 PGP 金鑰的主要認證機構之一,計劃改用更安全的雜湊函數進行金鑰認證。 OpenSSL開發人員針對有關新攻擊方法的信息,決定在預設的第一個安全層級停用SHA-XNUMX(在連線協商過程中SHA-XNUMX不能用於憑證和數位簽章)。
來源: opennet.ru