Programovanie

Google zabije SHA-1 úspešným kolíznym útokom

Je to oficiálne: Kryptografický algoritmus SHA-1 bol „SHAttered“. Google úspešne porušil SHA-1. Teraz čo?

Po rokoch varovania, že pokrok v moderných výpočtových technológiách znamená, že úspešný kolízny útok na SHA-1 sa už nezadržateľne blížil, vyvinul tím výskumníkov z Google a Centra Wiskunde & Informatica (CWI) v Holandsku prvú úspešnú kolíziu SHA-1. Z praktického hľadiska by sa na SHA-1 nemalo spoliehať kvôli praktickej bezpečnosti.

Moderné kryptografické hašovacie funkcie závisia od skutočnosti, že algoritmus generuje pre každý súbor iný kryptografický hash. Zrážka hash označuje vlastníctvo dvoch samostatných súborov s rovnakým hashom. Fakt, že kryptografické slabiny v SHA-1 spôsobujú, že certifikáty používajúce algoritmus SHA-1 sú potenciálne citlivé na kolízne útoky, je dobre známy. Národný inštitút pre štandardy a technológie ukončil podporu SHA-1 pred viac ako piatimi rokmi a odborníci už dlho vyzývajú organizácie, aby prešli na silnejšie hašovacie algoritmy. Až doteraz bola pre SHA-1 jedinou skutočnosťou skutočnosť, že kolízne útoky boli stále drahé a teoretické.

Už nie, pretože výskumný tím pod vedením spoločnosti Google vyvinul metódu, ktorá umožňuje generovať dva súbory PDF s rôznym obsahom, ale generujúce rovnaký hash SHA-1. Aj keď je kolízny útok stále drahý, útok „SHA-1 shattered“ už nie je teoretický, čo znamená, že útok je v dosahu kohokoľvek dostatočne motivovaného a s dostatočne hlbokými vreckami.

„Začali sme vytvorením predpony PDF špeciálne vytvorenej tak, aby nám umožnila generovať dva dokumenty s ľubovoľným odlišným vizuálnym obsahom, ale to by malo hash na rovnaký súhrn SHA-1,“ napísal tím z Googlu a CWI v blogovom príspevku. „Túto kolíziu sa nám podarilo nájsť kombináciou mnohých špeciálnych kryptoanalytických techník a vylepšením predchádzajúcej práce.“

Je však potrebné poznamenať, že sfalšovanie digitálnych certifikátov bude naďalej ťažké vďaka novým pravidlám CA / Browser Forum, ktoré vyžadujú, aby sa k sériovým číslam digitálnych certifikátov pridalo 20 bitov náhodnosti.

SHA-1 je mŕtvy; podľa toho konaj

V novembri výskum Venafi zistil, že 35 percent organizácií stále používa certifikáty SHA-1. „Tieto spoločnosti by tiež mohli hackerom ponúknuť vítaný znak, ktorý znie:„ Nestaráme sa o bezpečnosť našich aplikácií, údajov a zákazníkov “,“ uviedol Kevin Bocek, hlavný bezpečnostný stratég spoločnosti Venafi. -1 už nie sú sci-fi. “

Aj keď mnoho organizácií už minulý rok pracovalo na prechode na SHA-2, prechod nie je stopercentne dokončený, čo znamená, že organizácie, ktoré prechod ešte nedokončili (alebo nezačali!), Sú teraz ohrozené. Útočníci teraz majú dokázané, že sú možné kolízne útoky. Podľa pravidiel zverejňovania informácií spoločnosti Google bude kód, ktorý by útočníkom umožňoval vytvárať tieto dokumenty PDF, zverejnený do 90 dní. Hodiny tikajú.

Webový prehliadač Google Chrome začal začiatkom roku 2017 označovať weby, ktoré stále používajú digitálne certifikáty podpísané s SHA-1, ako nedôveryhodné. Očakáva sa, že Microsoft a Mozilla ich budú nasledovať aj v prípade Edge a Firefox. Podľa najnovších pokynov z fóra CA / Browser Forum je hlavnému orgánu regulujúcemu, ako certifikačné autority vydávajú certifikáty TLS, predajcovia prehliadačov a CA zakázané vydávať certifikáty SHA-1.

Výskumný tím vytvoril online nástroj, ktorý skenuje kolízie SHA-1 v dokumentoch na webovej stránke shattered.io. Spoločnosť Google už integrovala ochranu do služieb Gmail a Disk Google.

Aj keď si značný počet organizácií vzal varovania k srdcu a migrovali svoje webové stránky, mnohé stále používajú SHA-1 na digitálne podpisovanie softvéru a na overovanie digitálnych podpisov a kryptografických kľúčov pre infraštruktúru, ktorá nie je orientovaná na web, ako sú aktualizácie softvéru, zálohovacie systémy, a ďalšie aplikácie. Nástroje na správu verzií sa tiež spoliehajú na SHA-1 - napríklad Git sa „silne spolieha“ na SHA-1.

„Je v zásade možné vytvoriť dva úložiská GIT s rovnakým hashom hlavy a rôznym obsahom, povedzme benígny zdrojový kód a backdoorový,“ napísali vedci na webe shattered.io. „Útočník by mohol potenciálne selektívne slúžiť ktorémukoľvek úložisku cieľovým používateľom.“

Obloha nespadá ... zatiaľ

Všetko, čo bolo povedané, je stále ťažký a malware so zbraňami využívajúci SHAttered nebude cez noc zasiahnutý do sietí. Vedci tvrdia, že zistenie kolízie bolo ťažké a miestami vyzerali „neprakticky“. „Nakoniec sme to vyriešili tak, že sme tento problém opísali ako samotný matematický problém,“ napísali vedci.

Tím skončil s vykonaním viac ako 9 kvintiliónov (9 223 372 036 854 775 808) výpočtov SHA-1, čo sa premietlo do približne 6500 rokov výpočtov s jedným procesorom na dokončenie prvej fázy útoku a 110 rokov výpočtov s jedným GPU na dokončenie druhá fáza. Táto technika je stále viac ako 100 000-krát rýchlejšia ako útok hrubou silou.

Heterogénny klaster procesorov použitý v prvej fáze hostil Google a šíril sa na ôsmich fyzických miestach. Heterogénny klaster GPU K20, K40 a K80 použitý v druhej fáze hostil aj Google.

Aj keď sa tieto čísla zdajú byť veľmi veľké, národné štáty a veľa veľkých spoločností majú skúsenosti s kryptoanalýzou a finančné zdroje na získanie dostatočného množstva grafických kariet na to, aby to mohli urobiť v rozumnom čase, ak to skutočne chceli.

V roku 2015 iná skupina vedcov zverejnila metódu, ktorá by náklady na vytvorenie úspešnej kolízie SHA-1 pomocou cloudu EC2 spoločnosti Amazon v rozmedzí 75 000 až 120 000 dolárov. Tím spoločnosti Google odhadol, že spustenie druhej fázy útoku na EC2 spoločnosti Amazon by stálo zhruba 560 000 dolárov, ale ak je útočník trpezlivý a ochotný zvoliť pomalší postup, náklady klesnú na 110 000 dolárov, čo je v rozmedzí odhadovanom v roku 2015.

Čo bude ďalej?

Odvetvie vie od roku 2011, že tento deň prichádza, a väčšina predajcov uviedla, že urýchli svoje plány a termíny ukončenia podpory, ak sa silnejší útok stane realitou. NIST odporúča všetkým prechod z SHA-1 na SHA-2, rovnako ako fórum CA / Browser Forum. Očakávajte, že v priebehu najbližších týždňov budete počuť nové časové harmonogramy a harmonogramy od hlavných dodávateľov a zmeny primerane začleníte do svojej infraštruktúry.

"Vieme, že SHA-1 je už roky na stráži smrti," uviedol Tod Beardsley, riaditeľ výskumu v Rapid7. „Len čo sa technológia stane na internete bežnou záležitosťou, je takmer nemožné ju potlačiť, a to aj napriek obrovským dôkazom jej neistoty. Zatiaľ však nie som úplne pripravený na paniku z tohto zistenia. “

Avšak SHA-2 má rovnaké matematické slabiny ako SHA-1, tak prečo neprejsť na silnejší algoritmus SHA-3, ktorý nemá rovnaké problémy? Ako mi povedal Roger Grimes, nie je to praktický nápad z niekoľkých dôvodov a pravdepodobne by to viedlo k rozsiahlym ťažkostiam a prevádzkovým výzvam. Aj keď NIST odporúča prechod na SHA-3 od augusta 2015, predvolene ho prakticky nepodporuje žiadny operačný systém ani softvér. SHA-2 sa tiež nepovažuje za tak operačne slabý ako SHA-1, pretože jeho hash dĺžky sú dlhšie, takže je zatiaľ dosť dobré na použitie. Dĺžky hash SHA-2 sa pohybujú od 192 bitov do 512 bitov, hoci najbežnejších je 256 bitov. Väčšina dodávateľov začne časom pridávať ďalšiu podporu SHA-3, takže je najlepšie využiť migráciu na SHA-2 ako príležitosť zistiť, čo robiť v prípade nevyhnutnej migrácie SHA-2-na-SHA-3.

Varovania tam boli po celú dobu a teraz je čas na varovanie. IT tímy musia dokončiť migráciu SHA-1 na SHA-2 a mali by využiť správu, že úspešný kolízny útok je teraz na dosah, ako kladivo pre správu obuškov pri stanovení priority projektu.

$config[zx-auto] not found$config[zx-overlay] not found