Aanvallen op de SHA-1 hashing-algoritme gewoon een stuk gevaarlijker vorige week met de ontdekking van de allereerste “chosen-prefix collision aanval,” een meer praktische versie van de SHA-1 aanrijding eerste aanval uitgevoerd door Google twee jaar geleden.
Wat dit betekent is dat SHA-1 aanrijding aanvallen kunnen nu worden uitgevoerd met aangepaste ingangen, en ze zijn niet slechts toevallige ongelukken meer, waardoor aanvallers zich richt op bepaalde bestanden te dupliceren en te smeden.
SHA-1 aanrijding aanvallen
De SHA-1 hashing-functie is theoretisch gebroken in 2005; echter, de eerste succesvolle botsing aanval in de echte wereld werd uitgevoerd in 2017.
Twee jaar geleden, academici van Google en CWI produceerde twee bestanden die had dezelfde SHA-1 hash in de wereld van de eerste ooit SHA-1 aanrijding aanval, ook wel bekend als “Verbrijzeld.”
Cryptographers voorspelde SHA-1 zou worden gebroken in een real-world scenario, maar de Gebroken onderzoek kwam drie jaar eerder dan verwacht, en ook de kosten slechts $110,000 uit te voeren met behulp van cloud-verhuurd rekenkracht, veel minder dan wat de mensen dachten dat het zou kosten.
Afbeelding: Google
SHA-1 is gekozen-prefix aanvallen
Maar vorige week heeft een team van wetenschappers uit Frankrijk en Singapore heeft genomen van de Verwoeste onderzoek een stap verder door aan te tonen dat de allereerste SHA-1 “chosen-prefix” botsing aanval, in een nieuw research paper getiteld “Van Botsingen Gekozen-Prefix Botsingen – Toepassing naar Volledige SHA-1.”
“Het vinden van een praktische botsing aanval breekt de hash-functie slecht natuurlijk, maar de werkelijke schade die kan worden gedaan met zo’ n botsing is enigszins beperkt als de aanvaller zal hebben weinig tot geen controle op de feitelijke gegevens die botst,” Thomas Peyrin, één van de onderzoeker vertelde ZDNet via e-mail in het weekend.
“Een veel interessanter aanval is op zoek naar een zogenaamde ‘chosen-prefix collision,’ waar de aanvaller een vrije keuze in de prefix voor de twee botsende berichten. Dergelijke botsingen alles veranderen in termen van bedreiging, want nu kunt u overwegen om botsingen met betekenisvolle gegevens in (zoals de naam of identiteit in een digitaal certificaat, enz.).”
Eerste SHA1 werd verbrijzeld. https://t.co/CnnYJiLtxP
Het is nu gereduceerd tot puin.
Het is tijd om te stoppen met het gebruik van SHA1. (HMAC-SHA1 is nog in orde.)
— Scott Arciszewski (@CiPHPerCoder) 10 Mei 2019
Wat dit betekent is dat SHA-1 aanrijding aanvallen niet een spel van roulette niet meer, en nu, dreigingen kunnen smeden een SHA-1-ondertekende documenten ze willen, variërend van zakelijke documenten te TLS-certificaten.
SHA-1 is gekozen-prefix collision aanvallen zijn nu ook goedkope
Maar het werk van Peyrin en zijn collega –Gaetan Leurent– hebben gedaan gaat veel verder dan het bewijzen van SHA-1 chosen-prefix collision aanvallen zijn theoretisch mogelijk is.
Ze toonde ook aan dat een dergelijke aanvallen zijn nu goedkoop en in de begroting van cybercrime en de natie-staat aanvallers.
“Deze chosen-prefix botsingen wordt aangenomen, zijn veel moeilijker te vinden dan de klassieke botsingen. Voor de SHA-1 van de beste vorige search methode vereist 2^77 SHA-1 van de evaluaties, die bleef buiten bereik in de praktijk,” Peyrin vertelde ZDNet.
“De noviteit in ons artikel is dat leggen we uit hoe je drastisch verminderen van de kosten van het vinden van chosen-prefix botsingen voor SHA-1, neer op bijna de zelfde kosten als het vinden van een klassieke botsing,” zei hij.
“We zijn momenteel bezig met verdere verbeteringen (nog ongepubliceerde), en we evalueren nu, dat vindt men een gekozen-prefix collision voor SHA-1 met een budget van minder dan $100.000, maar dat is heel praktisch.”
Dit is ongeveer hetzelfde kosten als de oorspronkelijke Verbrijzeld onderzoek, maar deze versie van de aanval is wat aanvallers waarschijnlijk zou gebruiken als ze ooit zou willen aanval SHA-1-beveiligde gegevens.
“We hebben alle geteste onderdelen van de aanval, maar we hebben niet geprobeerd om het berekenen van een gekozen-prefix collision voorbeeld,” Peyrin zei.
“Onze eerste schattingen waren $1 miljoen voor het berekenen van de chosen-prefix collision, die een bedrag van geld dat we niet hebben. Dankzij onze nieuwste verbeteringen, de kosten gingen omlaag tot onder de $100.000 en we zijn momenteel bezig met het berekenen van de eerste gekozen-prefix collision voor SHA-1.
“Hopelijk kunnen we kondigen een nieuwe resultaten snel,” de onderzoeker zei.
Weg van SHA-1
Browser leveranciers hebben lang geleden begonnen deprecating ondersteuning voor SHA-1-ondertekend TLS verkeer in hun producten, maar andere toepassingen nog steeds vertrouwen.
“Er zijn nog steeds veel gebruikers met oudere browsers en vele protocollen en software waarmee SHA-1 van de handtekeningen. Concreet, het is nog steeds mogelijk om te kopen een SHA-1 certificaat van een vertrouwde CERTIFICERINGSINSTANTIE, en veel e-mail clients accepteren van een SHA-1 certificaat bij het openen van een TLS-verbinding,” Peyrin ons verteld.
“SHA-1 is ook breed ondersteund te verifiëren TLS en IKE handdruk berichten. Nu, wat het protocol kan worden aangevallen en in welke mate is moeilijk te zeggen op het moment, want het moet een zorgvuldige toetsing van de innerlijke werking van het protocol, en over hoe de digitale handtekeningen / certificaten worden gebruikt, etc..
“Echter, wat we kunnen zeggen is dat onze aanval op mogelijke risico’ s van producten met behulp van digitale handtekeningen of certificaten op basis van SHA-1,” Peyrin zei.
De take-home message moet echt worden dat het gebruik van SHA-1 voor digitale
handtekeningen of certificaten is zeer gevaarlijk, en mag niet worden toegestaan. Mensen doen dus sterk aangeraden om te wisselen naar SHA-2 of SHA-3 nu.”
Wat te gebruiken?
“De aanvallen tegen de SHA-1 zijn alleen maar beter zullen gaan,” Scott Arciszewski, Chief Development Officer bij Paragon Initiatief Ondernemingen, en een toonaangevende cryptographer, vertelde ZDNet in een aparte e-mail.
“Iedereen moet de schakelaar in stand (in volgorde van voorkeur):
BLAKE2b / BLAKE2sSHA-512/256SHA3-256SHA-384Any andere SHA2-familie hash-functie als een laatste redmiddel
“…tenzij ze het opslaan van wachtwoorden! In dat geval moeten ze overschakelen naar (in volgorde van voorkeur):
Argon2id met geheugen >= 32MiB, >= 2 rondes, en >= 2 parallelismscrypt / yescrypt met geheugen >= 32 MiB, >= 4 rondes, en >= 1 parellelismbcrypt (voor PHP ontwikkelaars, password_hash() en password_verify() doet de truc)PBKDF2-SHA512 met circa 85.000 iteraties als laatste redmiddel
“Maar SHA1 niet langer meer gebruikt worden. Geen excuses,” Arciszewski zei.
Verwante cybersecurity dekking:
Hackers zijn het verzamelen van betaling details, de wachtwoorden van de gebruikers van 4600 naar sitesMicrosoft raadt het gebruik van een apart apparaat voor administratieve tasksMicrosoft SharePoint-servers zijn onder attackNew lekken van de Iraanse cyber-spionage-operaties hit Telegram en de Donkere WebWordPress krijgt eindelijk de veiligheid voorzien van een derde van het Internet deservesFuture Android versies ondersteuning van Elektronische IDsThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters