Suicide
08.01.2020, 17:16
Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) представили метод атаки Shambles (https://sha-mbles.github.io/) (PDF (https://eprint.iacr.org/2020/014.pdf)), который преподносится как первая практическая реализация атаки на алгоритм SHA-1, которую можно использовать для создания фиктивных цифровых подписей PGP и GnuPG. Исследователи полагают, что теперь все практические атаки на MD5 могут применяться и для SHA-1, хотя пока всё ещё требуют значительных ресурсов для осуществления.
Метод основан на проведении коллизионной атаки с заданным префиксом (https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BB%D0%BB%D0%B8%D0%B7%D0%B8%D0%BE%D 0%BD%D0%BD%D0%B0%D1%8F_%D0%B0%D1%82%D0%B0%D0%BA%D0 %B0#%D0%9A%D0%BE%D0%BB%D0%BB%D0%B8%D0%B7%D0%B8%D0% BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B0%D1%82%D0%B0%D0%B A%D0%B0_%D1%81_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B D%D1%8B%D0%BC_%D0%BF%D1%80%D0%B5%D1%84%D0%B8%D0%BA %D1%81%D0%BE%D0%BC), позволяющей для двух произвольных наборов данных подобрать дополнения, при прикреплении которых на выходе получатся вызывающие коллизию наборы, применение алгоритма SHA-1 для которых приведёт к формированию одного и того же результирующего хэша. Иными словами, для двух существующих документов можно вычислить два дополнения, и если одно присоединить к первому документу, а другое ко второму - результирующие хэши SHA-1 для этих файлов будут одинаковы.
Новый метод отличается от ранее предлагавшихся похожих техник повышением эффективности поиска коллизии и демонстрацией практического применения для атаки на PGP. В частности, исследователи смогли подготовить два открытых PGP-ключа разного размера (RSA-8192 и RSA-6144) с отличающимися идентификаторами пользователя и с сертификатами, вызывающими коллизию SHA-1. Первый ключ (https://sha-mbles.github.io/bob.asc) включал идентификатор жертвы, а второй ключ (https://sha-mbles.github.io/alice.asc) включал имя и изображение атакующего. При этом благодаря подбору коллизии идентифицирующий ключи сертификат, включающий ключ и изображение атакующего, имел тот же SHA-1 хэш, что и идентификационный сертификат, включающий ключ и имя жертвы.
Атакующий мог запросить цифровую подпись для своего ключа и изображения в стороннем удостоверяющем центре, после чего перенести цифровую подпись для ключа жертвы. Цифровая подпись остаётся корректной из-за коллизии и заверения ключа атакующего удостоверяющим центром, что позволяет атакующему получить контроль и за ключом с именем жертвы (так как SHA-1 хэш для обоих ключей совпадает). В итоге атакующий может выдать себя за жертву и подписать любой документ от её имени.
Атака пока остаётся достаточно затратной, но уже вполне по карману спецслужбам и крупным корпорациям. Для простого подбора коллизии при использования более дешёвого GPU NVIDIA GTX 970 затраты составили 11 тысяч долларов, а для подбора коллизии с заданным префиксом - 45 тысяч долларов (для сравнения в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, а в 2015 году - 700 тысяч). Для совершения практической атаки на PGP потребовалось два месяца вычислений с привлечением 900 GPU NVIDIA GTX 1060, аренда которых обошлась исследователям в 75 тысяч долларов.
Предложенный исследователями метод обнаружения коллизий примерно в 10 раз эффективней прошлых достижений - уровень сложности вычислений коллизии удалось свести к 261.2 операциям, вместо 264.7, а коллизии с заданным префиксом к 263.4 операциям вместо 267.1. Исследователи рекомендуют как можно скорее перейти с SHA-1 на использование SHA-256 или SHA-3, так как по их прогнозам в 2025 году стоимость проведения атаки снизится до 10 тысяч долларов.
Разработчики GnuPG были уведомлены о проблеме 1 октября (CVE-2019-14855) и 25 ноября в выпуске GnuPG 2.2.18 предприняли меры для блокирования проблемных сертификатов - все цифровые идентифицирующие подписи SHA-1, созданные после 19 января прошлого года, теперь признаются некорректными. В CAcert, одном из основных удостоверяющих центров для ключей PGP, планируют перейти на применение более безопасных хэш-функций для сертификации ключей. Разработчики OpenSSL в ответ на информацию о новом методе атаки решили отключить SHA-1 на предлагаемом по умолчанию первом уровне обеспечения безопасности (SHA-1 нельзя будет использовать для сертификатов и цифровых подписей в процессе согласования соединений).
07.01.20
http://www.opennet.ru/opennews/art.shtml?num=52149
Метод основан на проведении коллизионной атаки с заданным префиксом (https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BB%D0%BB%D0%B8%D0%B7%D0%B8%D0%BE%D 0%BD%D0%BD%D0%B0%D1%8F_%D0%B0%D1%82%D0%B0%D0%BA%D0 %B0#%D0%9A%D0%BE%D0%BB%D0%BB%D0%B8%D0%B7%D0%B8%D0% BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B0%D1%82%D0%B0%D0%B A%D0%B0_%D1%81_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B D%D1%8B%D0%BC_%D0%BF%D1%80%D0%B5%D1%84%D0%B8%D0%BA %D1%81%D0%BE%D0%BC), позволяющей для двух произвольных наборов данных подобрать дополнения, при прикреплении которых на выходе получатся вызывающие коллизию наборы, применение алгоритма SHA-1 для которых приведёт к формированию одного и того же результирующего хэша. Иными словами, для двух существующих документов можно вычислить два дополнения, и если одно присоединить к первому документу, а другое ко второму - результирующие хэши SHA-1 для этих файлов будут одинаковы.
Новый метод отличается от ранее предлагавшихся похожих техник повышением эффективности поиска коллизии и демонстрацией практического применения для атаки на PGP. В частности, исследователи смогли подготовить два открытых PGP-ключа разного размера (RSA-8192 и RSA-6144) с отличающимися идентификаторами пользователя и с сертификатами, вызывающими коллизию SHA-1. Первый ключ (https://sha-mbles.github.io/bob.asc) включал идентификатор жертвы, а второй ключ (https://sha-mbles.github.io/alice.asc) включал имя и изображение атакующего. При этом благодаря подбору коллизии идентифицирующий ключи сертификат, включающий ключ и изображение атакующего, имел тот же SHA-1 хэш, что и идентификационный сертификат, включающий ключ и имя жертвы.
Атакующий мог запросить цифровую подпись для своего ключа и изображения в стороннем удостоверяющем центре, после чего перенести цифровую подпись для ключа жертвы. Цифровая подпись остаётся корректной из-за коллизии и заверения ключа атакующего удостоверяющим центром, что позволяет атакующему получить контроль и за ключом с именем жертвы (так как SHA-1 хэш для обоих ключей совпадает). В итоге атакующий может выдать себя за жертву и подписать любой документ от её имени.
Атака пока остаётся достаточно затратной, но уже вполне по карману спецслужбам и крупным корпорациям. Для простого подбора коллизии при использования более дешёвого GPU NVIDIA GTX 970 затраты составили 11 тысяч долларов, а для подбора коллизии с заданным префиксом - 45 тысяч долларов (для сравнения в 2012 году затраты на подбор коллизии в SHA-1 оценивались в 2 млн долларов, а в 2015 году - 700 тысяч). Для совершения практической атаки на PGP потребовалось два месяца вычислений с привлечением 900 GPU NVIDIA GTX 1060, аренда которых обошлась исследователям в 75 тысяч долларов.
Предложенный исследователями метод обнаружения коллизий примерно в 10 раз эффективней прошлых достижений - уровень сложности вычислений коллизии удалось свести к 261.2 операциям, вместо 264.7, а коллизии с заданным префиксом к 263.4 операциям вместо 267.1. Исследователи рекомендуют как можно скорее перейти с SHA-1 на использование SHA-256 или SHA-3, так как по их прогнозам в 2025 году стоимость проведения атаки снизится до 10 тысяч долларов.
Разработчики GnuPG были уведомлены о проблеме 1 октября (CVE-2019-14855) и 25 ноября в выпуске GnuPG 2.2.18 предприняли меры для блокирования проблемных сертификатов - все цифровые идентифицирующие подписи SHA-1, созданные после 19 января прошлого года, теперь признаются некорректными. В CAcert, одном из основных удостоверяющих центров для ключей PGP, планируют перейти на применение более безопасных хэш-функций для сертификации ключей. Разработчики OpenSSL в ответ на информацию о новом методе атаки решили отключить SHA-1 на предлагаемом по умолчанию первом уровне обеспечения безопасности (SHA-1 нельзя будет использовать для сертификатов и цифровых подписей в процессе согласования соединений).
07.01.20
http://www.opennet.ru/opennews/art.shtml?num=52149