Pierwsze wykorzystanie kolizji skrótu do złamania SHA-1
Autor: Wedelek | źródło: Google | 06:30
(2)
Od kilku lat różne instytucje zajmujące się badaniem systemów zabezpieczających publikują teoretyczne opracowania dowodzące słabości algorytmu haszującego SHA-1. Wszyscy o nich wiedzą, ale do tej pory nikt nie wykorzystał tych mechanizmów w praktyce. Sytuacja uległa zmianie dopiero niedawno. Google we współpracy z holenderskim instytutem naukowym CWI dokonał bowiem udanej zmiany pliku bez modyfikacji jego skrótu dowodząc tym samym, że SHA-1 nie jest bezpiecznym algorytmem.
SHA to rodzina algorytmów bazujących na tzw. funkcji skrótu której zadaniem jest generowanie unikatowego ciągu znaków dla każdego z plików. Nawet najmniejsza jego modyfikacja powoduje wygenerowanie zupełnie innego skrótu. Dzięki temu możliwe jest szybkie weryfikowanie autentyczności plików (czy nie zostały zmodyfikowane) bez konieczności przeglądania ich kodu znak po znaku.
Aby obejść to zabezpieczenie ekipa badająca SHA-1 wykorzystała znaną od dawna metodę kolizji funkcji skrótu, potwierdzając w sposób praktyczny teorię. Dlaczego nikt wcześniej nie pokusił się o tego typu badanie? Powód jest trywialny. Znalezienie kolizji wymaga sporej mocy obliczeniowej. Pojedynczy procesor CPU musiałby jej szukać przez około 6500 lat, a w przypadku GPU byłoby to 110 lat. Łatwo więc obliczyć, że na złamanie tego zabezpieczenia w sensownym czasie trzeba dysponować maszyną złożoną z setek akceleratorów graficznych.
Ponieważ SHA-1 był algorytmem wykorzystywanym w protokole HTTPS, więc skorzystanie z tej technologii umożliwiałoby wygenerowanie fałszywego certyfikatu i wykonywanie zaawansowanych ataków na niczego nieświadomych użytkowników. Dlatego też w 2011 roku zdecydowano się o jego porzuceniu na rzecz nowszych wersji SHA czy TLC wszędzie tam gdzie bezpieczeństwo danych jest kluczowe. Tym samym praktyczne przełamanie SHA-1 nie wpływa na nasze bezpieczeństwo.
Mimo to tam gdzie bezpieczeństwo nie jest aż tak ważne SHA-1 nadal jest i będzie używany. Przykładowo do podpisywania sum kontrolnych niektórych programów, dla których modyfikacja skrótu jest nieopłacalna z przyczyn ekonomicznych.
K O M E N T A R Z E
Kur*a! (autor: Pyth0n | data: 27/02/17 | godz.: 07:53) Ja prdl... Poczytajcie trochę teorii przed nabazgraniem artykułu.
"skorzystanie z tej technologii umożliwiałoby wygenerowanie fałszywego certyfikatu"
NIE, NIE, NIE. Kolizja umożliwia wygenerowanie certyfikatu do PARY kluczy, mówi się o nich "evil twins". Kolizja umożlwiwa wygenerowanie PARY dokumentóœ mających ten sam skrót.
Atak typu kolizja nie umożliwia dogenerowania "złego bliźniaka" do ZNANEGO dokuentu. Nie umożlwia dogenerowania własnego klucza prywatnego pasującego do już istniejącego certyfikatu. Nie umożliwia dogenerowania włąsnego dokumentu do już istniejącego podpisu cyfrowego. Do tego typu ataku potrzebny jest "preimage attack" a nie kolizja. I na razie nikt nie zademonstrował tego ataku dla SHA1.
Ja tam się nie znam... (autor: JE Jacaw | data: 27/02/17 | godz.: 11:17) ...ale na ile mi wiadomo co to jest hash (mający określoną długość, więc ilość możliwych kombinacji jest ściśle ograniczona), to od początku było wiadomo, że takie coś jest możliwe i to tylko kwestia mocy obliczeniowej komputerów. Więc nie bardzo wiem, o co tyle hałasu. :-)
Zresztą zapewne każde zabezpieczenie kryptograficzne da się odszyfrować, pytanie tylko jak szybko i jakich zasobów to wymaga. Ja rozumiem, że jak znajdzie się jakoś lukę to może to być sensacja, ale zwykłe rozkodowanie siłowe ?
D O D A J K O M E N T A R Z
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
