Attacchi di hashing SHA-1 algoritmo appena ricevuto molto più pericolosa la scorsa settimana con la scoperta del primo-mai “scelto per il prefisso di collisione attacco” più pratica versione di SHA-1 di collisione primo attacco effettuato da Google due anni fa.
Che cosa questo significa è che SHA-1 di collisione attacchi possono ora essere effettuata con personalizzato ingressi, e non sono solo accidentali incidenti più, consentendo agli hacker di destinazione di alcuni file duplicati e forge.
SHA-1 di collisione attacchi
L’hash SHA-1 la funzione è stata teoricamente rotto nel 2005; tuttavia, il primo successo di una collisione attacco nel mondo reale è stata effettuata nel 2017.
Due anni fa, accademici da Google e CWI prodotto due file con lo stesso hash SHA-1 (firma digitale), il primo al mondo mai SHA-1 di collisione attacco-noto come “Frantumi.”
Crittografi predetto SHA-1 sarebbe rotto in uno scenario del mondo reale, ma i Frantumi di ricerca, tre anni prima di quanto previsto, e anche costo di soli $110,000 da eseguire utilizzando il cloud-affitto potenza di calcolo, molto meno di quello che la gente pensava che potrebbe costare.
Immagine: Google
SHA-1 scelto il prefisso di attacchi
Ma la scorsa settimana, un team di accademici provenienti da Francia e Singapore ha preso i Frantumi di ricerca di un ulteriore passo avanti, dimostrando il primo SHA-1 “scelto per il prefisso di” collisione attacco, in un nuovo documento di ricerca dal titolo “Da Collisioni Scelto il Prefisso di Collisioni – Applicazione a Pieno SHA-1.”
“La ricerca di una pratica di collisione attacco rompe la funzione di hash male, naturalmente, ma l’effettivo danno che può essere fatto con una tale collisione è un po’ limitato in quanto l’attaccante avrà poco o nessun controllo sui dati che si scontra,” Thomas Peyrin, uno del ricercatore detto a ZDNet via e-mail durante il fine settimana.
“Molto più interessante di attacco è quello di trovare un cosiddetto ‘scelto il prefisso di collisione, la’ dove l’attaccante può scegliere liberamente il prefisso per i due messaggi di collisione. Tali collisioni cambiare tutto in termini di minaccia, perché ora è possibile considerare di avere collisioni con i dati significativi all’interno (come i nomi o le identità in un certificato digitale, ecc).”
Prima SHA1 si è infranto. https://t.co/CnnYJiLtxP
Ora è ridotta in rovina.
E ‘ ora di smettere di usare SHA1. (HMAC-SHA1 è ancora a posto.)
— Scott Arciszewski (@CiPHPerCoder) 10 Maggio 2019
Che cosa questo significa è che SHA-1 di collisione attacchi non sono un gioco di roulette più, e ora minaccia di attori in grado di forgiare qualsiasi SHA-1-firmato documenti che vuoi, che vanno da documenti aziendali certificati TLS.
SHA-1 scelto il prefisso di collisione attacchi ora sono anche a buon mercato
Ma il lavoro di Peyrin e il suo collega –Gaetan Leurent– hanno fatto va ben al di là di dimostrare SHA-1 scelto il prefisso di collisione attacchi sono teoricamente possibili.
Hanno anche mostrato che tali attacchi sono ora a basso costo e nel bilancio di criminalità informatica e stato-nazione attaccanti.
“Queste scelte-prefisso collisioni sono creduti per essere molto più difficile da trovare rispetto classica collisioni. Per SHA-1, i migliori precedente metodo di ricerca richiesto 2^77 SHA-1 valutazioni, che sono rimasti al di fuori della portata in pratica,” Peyrin detto a ZDNet.
“La novità nel nostro articolo che spiega come ridurre drasticamente i costi della ricerca scelto il prefisso di collisioni per SHA-1, quasi a parità di costo, come la ricerca di una classica collisione”, ha detto.
“Attualmente stiamo lavorando su ulteriori miglioramenti (inedito), e valutiamo ora che si può trovare un scelto il prefisso di collisione per SHA-1 con un budget di meno di $100.000, che è davvero utile.”
Questo è circa lo stesso costo dell’originale in Frantumi la ricerca, la sicurezza, questa versione di attacco è quello che gli aggressori sarebbero probabilmente se mai vuole attaccare SHA-1 di dati protetti.
“Abbiamo testato tutti i sottocomponenti dell’attacco, ma non abbiamo provato a calcolare una scelta-prefisso collisione esempio,” Peyrin detto.
“Le nostre iniziali stime erano $1 milione per calcolare scelto il prefisso di collisione, che è una quantità di denaro che semplicemente non hanno. Grazie al nostro miglioramenti più recenti, il costo è andato giù al di sotto di $100.000 e, attualmente, stiamo lavorando per il calcolo di prima scelta per il prefisso di collisione per SHA-1.
“Si spera, saremo in grado di annunciare i nuovi risultati presto”, il ricercatore ha detto.
Allontanandosi da SHA-1
I produttori di Browser hanno ormai da tempo iniziato a intaccare il supporto per SHA-1-firmato TLS traffico all’interno dei loro prodotti; tuttavia, altre applicazioni si basano ancora su di esso.
“Ci sono ancora molti gli utenti con vecchi browser e molti protocolli e software che permettono di SHA-1 di firme. Concretamente, è ancora possibile acquistare un SHA-1 certificato da un’autorità di certificazione attendibile, e molti client di posta accettare un SHA-1 certificato all’apertura di una connessione TLS,” Peyrin ci ha detto.
“SHA-1 è anche ampiamente supportato per l’autenticazione TLS e IKE i messaggi di handshake. Ora, il protocollo che può essere attaccato e fino a che punto è difficile dire al momento, perché ha bisogno di un attento esame del funzionamento interno del protocollo e di come le firme digitali / certificati vengono utilizzati, ecc..
“Tuttavia, ciò che possiamo dire è che il nostro attacco messo a rischio i prodotti tramite la firma digitale, o certificati basati su SHA-1,” Peyrin detto.
“Il messaggio che in realtà dovrebbe essere che utilizzando SHA-1 per il digitale
firme o certificati è molto pericoloso, e non dovrebbe essere consentito. Gente che fa così, si consiglia vivamente di cambiare SHA-2 o SHA-3 ora.”
Cosa usare?
“Gli attacchi contro SHA-1 sono solo andando a stare meglio,” Scott Arciszewski, Chief Development Officer presso Paragon Iniziativa delle Imprese, e di un leader esperto di crittografia, ha detto a ZDNet una e-mail separata.
“Tutti dovrebbero passare a (in ordine di preferenza):
BLAKE2b / BLAKE2sSHA-512/256SHA3-256SHA-384Any altri SHA2-family funzione di hash come ultima risorsa
“…a meno che non sei la memorizzazione di password! Nel qual caso si dovrebbe passare a (in ordine di preferenza):
Argon2id con memoria >= 32MiB, >= 2 giri, e >= 2 parallelismscrypt / yescrypt con memoria >= 32 MiB, >= 4 giri, e >= 1 parellelismbcrypt (per sviluppatori PHP, password_hash() e password_verify() fa il trucco)PBKDF2-SHA512, di cui 85.000 iterazioni come ultima risorsa
“Ma SHA1 devono più essere utilizzati più. Niente scuse,” Arciszewski, ha detto.
Relative cybersecurity copertura:
Gli hacker per raccogliere i dati di pagamento, password utente da 4.600 sitesMicrosoft consiglia l’utilizzo di un dispositivo separato per le amministrative tasksMicrosoft SharePoint server sono in attackNew perdite di Iranian cyber-spionaggio operazioni di colpire il Telegramma e il Buio WebWordPress ottiene finalmente le caratteristiche di sicurezza di un terzo di Internet deservesFuture versioni di Android per il supporto Elettronico IDsThe scuro web è più piccolo, e può essere meno pericoloso di quanto si pensi TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati