Attacker på SHA-1 hashning algoritm har precis fått en mycket mer farlig förra veckan i och med upptäckten av den första någonsin “valt-prefix kollision attack,” en mer praktisk version av SHA-1 kollision första attack som genomförs av Google för två år sedan.
Vad detta betyder är att SHA-1 kollision attacker kan nu utföras med egna ingångar, och de är inte bara oavsiktlig missöden längre, tillåter angripare att rikta vissa filer för att kopiera och förfalska.
SHA-1 kollision attacker
SHA-1 hashning funktion teoretiskt trasiga 2005, men den första framgångsrika kollision attack i den verkliga världen genomfördes i och med 2017.
För två år sedan, akademiker från Google och CWI producerat två filer som haft samma SHA-1-hash (digital signatur) – världens första SHA-1 kollision attack –känd som “Krossade.”
Kryptografer förutspådde SHA-1 skulle vara bruten i ett verkligt scenario, men det Sönderslagna forskning kom tre år tidigare än de tänkt sig, och också kostar bara $110,000 att köra med cloud-hyra datorkraft, långt mindre än vad folk trodde att det kanske skulle kosta.
Bild: Google
SHA-1-vald-prefix attacker
Men förra veckan, ett team av forskare från Frankrike och Singapore har tagit Krossade forskningen ett steg längre genom att visa den första någonsin SHA-1 “väljs-prefix” kollision attack, i en ny forskningsrapport med titeln “Från Kollisioner till Vald-Prefix Kollisioner – Ansökan till Full SHA-1.”
“Att hitta en praktisk kollision attack bryter hash-funktion för dåligt förstås, men den faktiska skada som kan göras med en sådan kollision är något begränsad eftersom angriparen har liten eller ingen kontroll på de faktiska data som kolliderar,” Thomas Peyrin, en av de forskare som berättade ZDNet via e-post under helgen.
“En mycket mer intressant attack är att hitta en så kallad valt-prefix kollision,” där angriparen kan fritt välja prefix för två kolliderande meddelanden. Sådana kollisioner ändra allt i termer av hot eftersom nu kan du överväga att ha kollisioner med meningsfulla uppgifter inuti (som namn eller identiteter i ett digitalt certifikat, etc.).”
Första SHA1 krossades. https://t.co/CnnYJiLtxP
Nu är det nedsatt till spillror.
Det är dags att sluta använda SHA1. (HMAC-SHA1 är fortfarande okej.)
— Scott Arciszewski (@CiPHPerCoder) Maj 10, 2019
Vad detta betyder är att SHA-1 kollision attackerna är inte ett spel av roulette längre, och nu, hot aktörer som kan skapa någon SHA-1-signerade dokument de vill ha, allt från affärsdokument till TLS-certifikat.
SHA-1-vald-prefix kollision attacker är nu också billiga
Men arbetet i Peyrin och hans kollega –Gaetan Leurent– har gjort något som går långt utöver än att bevisa SHA-1-vald-prefix kollision attacker är teoretiskt möjligt.
De visade också att sådana attacker är nu låga och i budgeten för it-brottslighet och nationalstaten angripare.
“Dessa valda-prefix kollisioner tros vara mycket svårare att hitta än klassisk kollisioner. För SHA-1, den bästa föregående sök metod krävs 2^77 SHA-1 utvärderingar, som förblev utom räckhåll i praktiken,” Peyrin berättade ZDNet.
“Nyhet i vår är att vi kommer att förklara hur man drastiskt minska kostnaden för att hitta valt-prefix kollisioner för SHA-1, ner till nästan samma kostnad som att hitta en klassisk kollision,” sade han.
“Vi arbetar för närvarande med ytterligare förbättringar (ej publicerad ännu), och vi utvärderar nu att man kan hitta en vald-prefix kollision för SHA-1 med en budget på mindre än $100.000, vilket är riktigt praktiskt.”
Detta är ungefär samma kostnad som för den ursprungliga Krossade forskning, men denna version av attacken är vad angripare sannolikt skulle använda om de någonsin vill attack SHA-1-skyddade data.
“Vi har testat alla delkomponenter av attacken, men vi har inte försökt att beräkna en vald-prefix kollision exempel,” Peyrin sagt.
“Vår ursprungliga beräkningarna var $1 miljon euro för att beräkna det utvalda-prefix kollision, vilket är en summa pengar som vi helt enkelt inte har. Tack vare våra senaste förbättringar, kostnaderna gick ned till under $100 000 och vi arbetar för närvarande med att beräkna den första valda-prefix kollision för SHA-1.
“Förhoppningsvis kommer vi kunna presentera nya resultat snart,” forskare.
På väg bort från SHA-1
Leverantörer av webbläsare har för länge sedan började nedsättande stöd för SHA-1-signerad TLS trafik inne i sina produkter, men andra program som fortfarande förlitar sig på det.
“Det finns fortfarande många användare med äldre webbläsare och många protokoll och program som gör möjligt att SHA-1 signaturer. Konkret, är det fortfarande möjligt att köpa en SHA-1-certifikat från en betrodd certifikatutfärdare, och många e-postklienter acceptera en SHA-1-certifikat när du öppnar en TLS-anslutning,” Peyrin berättade för oss.
“SHA-1 är också brett stöd för att autentisera TLS och IKE handslag meddelanden. Nu, vad protokollet kan angripas och i vilken utsträckning är svårt att säga just nu, eftersom det kräver noggrann kontroll av det inre arbetet i protokollet och om hur den digitala signaturer / certifikat används, etc..
“Men vad vi kan säga är att vår attack sätta på möjlig risk produkter med hjälp av digitala signaturer, certifikat eller baserat på SHA-1,” Peyrin sagt.
“Take-home message verkligen bör vara att med hjälp av SHA-1 för digitala
signatur eller certifikat som är mycket farligt och bör inte vara tillåtna. Människor som gör så uppmanas att ändra till SHA-2 eller SHA-3 nu.”
Vad ska man använda?
“Attackerna mot SHA-1 är bara kommer att bli bättre,” Scott Arciszewski, Chief Development Officer på Paragon Initiativ Företag och en ledande kryptograf, berättade ZDNet i ett separat e-post.
“Alla borde byta till (i prioritetsordning):
BLAKE2b / BLAKE2sSHA-512/256SHA3-256SHA-384Any andra SHA2-familjen hash-funktion som en sista utväg
“…såvida de inte är att lagra lösenord! I vilket fall bör de byta till (i prioritetsordning):
Argon2id med minne >= 32MiB, >= 2 omgångar, och >= 2 parallelismscrypt / yescrypt med minne >= 32 MiB, >= 4 omgångar, och >= 1 parellelismbcrypt (för PHP-devs, password_hash() och password_verify() gör susen)PBKDF2-SHA512 med 85,000 iterationer som en sista utväg
“Men SHA1 bör inte längre användas längre. Inga ursäkter,” Arciszewski sagt.
Relaterade it-säkerhet täckning:
Hackare är att samla in betalningsinformation, lösenord från 4,600 sitesMicrosoft rekommenderar att du använder en separat enhet för administrativ tasksMicrosoft SharePoint-servrar är under attackNew läckage av Iranska cyber-spionage hit Telegram och den Mörka WebWordPress slutligen blir det säkerhetsdetaljer en tredjedel av Internet deservesFuture Android-versioner för att stödja Elektronisk IDsThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter