Angreb på SHA-1-hashing-algoritme har lige fået en meget mere farlig i sidste uge med opdagelsen af den første nogensinde “valgt-præfiks kollision angreb,” en mere praktisk udgave af SHA-1-kollision første angreb udført af Google for to år siden.
Hvad dette betyder er, at SHA-1-kollision angreb kan nu udføres med tilpassede input, og de er ikke bare hændeligt uheld længere, gør det muligt for hackere at målrette visse filer for at kopiere og skabe.
SHA-1-kollision angreb
SHA-1 hashing funktion var teoretisk brudt i 2005; dog, den første vellykkede kollision angreb i den virkelige verden blev gennemført i 2017.
For to år siden, akademikere fra Google og CWI produceret to filer, der havde samme SHA-1 hash (digital signatur), i verdens første nogensinde SHA-1-kollision angreb-kendt som “Knust.”
Kryptografer forudsagt, SHA-1, ville blive brudt i en real-world scenario, men Knust forskning kom der tre år tidligere, end de forventede, og også kun koster $110.000 udføre ved hjælp af cloud-leje computerkraft, langt mindre end hvad folk troede, at det kan koste.
Billede: Google
SHA-1 er valgt-præfiks angreb
Men i sidste uge, et team af forskere fra Frankrig og Singapore har taget Knust forskning et skridt videre ved at demonstrere den første nogensinde SHA-1 “er valgt-præfiks” kollisions angreb, i en ny videnskabelig artikel med titlen “Fra Kollisioner Valgt-Præfiks Kollisioner – Ansøgning til Fuld SHA-1.”
“At finde en praktisk kollision angreb bryder hash funktion dårligt selvfølgelig, men den faktiske skade, der kan ske med sådan en kollision er lidt begrænset, da angriberen vil have lidt eller slet ingen kontrol på de faktiske data, der kolliderer,” Thomas Peyrin, en forsker fortalte ZDNet via e-mail i løbet af weekenden.
“En meget mere interessant angreb er at finde en såkaldt ‘valgt-præfiks kollision,” hvor angriberen kan frit vælge præfikset for de to kolliderende beskeder. Sådanne kollisioner kan ændre alt i form af en trussel, fordi du nu kan overveje at have sammenstød med meningsfulde data inde i (som navne eller identitet i et digitalt certifikat, osv.).”
Første SHA1 var knust. https://t.co/CnnYJiLtxP
Nu er det reduceret til ruiner.
Det er tid til at stoppe med at bruge SHA1. (HMAC-SHA1 er stadig okay.)
— Scott Arciszewski (@CiPHPerCoder) 10 Maj 2019
Hvad dette betyder er, at SHA-1-kollision angreb er ikke et spil af roulette længere, og nu, trussel aktører kan skabe nogen SHA-1-underskrevet dokumenter, de gerne vil have, lige fra dokumenter, til TLS-certifikater.
SHA-1 er valgt-præfiks kollision angreb er nu også billige
Men arbejdet i Peyrin og hans kollega –Gaetan Leurent– har gjort, er langt mere vidtgående, end at bevise, SHA-1 er valgt-præfiks kollision angreb er teoretisk muligt.
De viste også, at sådanne angreb er nu billige og i budgettet for it-kriminalitet og nation-state angribere.
“Disse valgt-præfiks kollisioner menes at være meget sværere at finde end den klassiske kollisioner. For SHA-1, den bedste foregående søgning kræves metode 2^77 SHA-1 evalueringer, som forblev uden for rækkevidde i praksis,” Peyrin fortalte ZDNet.
“Det nye i vores artikel er, at vi forklarer, hvordan du drastisk reducere omkostningerne ved at finde valgt-præfiks kollisioner til SHA-1, ned til næsten samme pris som at finde en klassisk kollision,” sagde han.
“Vi arbejder i øjeblikket på yderligere forbedringer (endnu ikke offentliggjort), og vi vurderer nu, at man kan finde en valgt-præfiks kollision for SHA-1 med et budget på mindre end $100.000, som er virkelig praktiske.”
Dette er næsten samme pris som den oprindelige Knust forskning, men denne version af angrebet er, hvad angriberne sandsynligvis ville bruge, hvis de nogensinde ønsker at angribe, SHA-1-beskyttede data.
“Vi har testet alle delkomponenter af angrebet, men vi har ikke forsøgt at beregne en valgt-præfiks kollision eksempel,” Peyrin sagde.
“Vores oprindelige skøn var $1 million til at beregne den valgte-præfiks kollision, som er en mængde af penge, som vi simpelthen ikke har. Tak til vores seneste forbedringer, den pris gik ned under $100.000 og vi arbejder i øjeblikket på computing den første valgt-præfiks kollision for SHA-1.
“Forhåbentlig, vi vil være i stand til at annoncere nye resultater snart,” forsker sagde.
Bevæger sig væk fra SHA-1
Browser leverandører har for længe siden begyndte afværgende støtte til SHA-1-underskrevet TLS trafik inde i deres produkter, men andre programmer, der stadig er afhængige af det.
“Der er stadig mange brugere med ældre browsere og mange protokoller og software, der tillader SHA-1 signaturer. Konkret betyder det, at det stadig er muligt at købe en SHA-1-certifikat fra en pålidelig CA, og mange e-mail-klienter til at acceptere en SHA-1-certifikat, når du åbner en TLS-forbindelse,” Peyrin fortalte os.
“SHA-1 er også bred opbakning til at godkende TLS og IKE håndtryk beskeder. Nu, hvad protokol kan blive angrebet, og i hvilket omfang, det er svært at sige på nuværende tidspunkt, fordi det kræver nøje kontrol af den indvendige arbejder i protokollen, og hvordan den digitale signaturer / certifikater, der anvendes, osv..
“Men det, vi kan sige, er, at vores angreb sat på mulig risiko produkter ved brug af digitale signaturer, eller certifikater, der er baseret på SHA-1,” Peyrin sagde.
“Take-home message bør virkelig være, at bruge SHA-1 til digital
signaturer eller certifikater, der er meget farligt, og bør ikke være tilladt. Mennesker at gøre, så er det kraftigste at skifte til SHA-2 eller SHA-3 nu.”
Hvad skal man bruge?
“De angreb mod SHA-1 er kun kommer til at få det bedre,” Scott Arciszewski, Chief Development Officer ved Paragon Initiativ Virksomheder, og en ledende kryptograf, fortalte ZDNet i en separat e-mail.
“Alle skal skifte til (i prioriteret rækkefølge):
BLAKE2b / BLAKE2sSHA-512/256SHA3-256SHA-384Any andre SHA2-familie hash-funktion, som en sidste udvej
“…medmindre de er lagring af adgangskoder! I hvilket tilfælde, de skal skifte til (i prioriteret rækkefølge):
Argon2id med hukommelse >= 32MiB, >= 2 runder, og >= 2 parallelismscrypt / yescrypt med hukommelse >= 32 MiB, >= 4 runder, og >= 1 parellelismbcrypt (for PHP-udviklere, password_hash() og password_verify() gør det trick)PBKDF2-SHA512 med 85.000 personer iterationer som en sidste udvej
“Men SHA1 bør ikke længere anvendes længere. Ingen undskyldninger,” Arciszewski sagde.
Relaterede cybersecurity dækning:
Hackere er at indsamle oplysninger om betaling, bruger adgangskoder fra 4,600 sitesMicrosoft anbefaler, at du bruger en separat enhed til det administrative tasksMicrosoft SharePoint-servere er under attackNew lækager af Iranske cyber-spionage ramt Telegram og de Mørke WebWordPress endelig får den sikkerhed har en tredjedel af Internettet deservesFuture Android versioner til støtte Elektronisk IDsThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre