Google je uspješnim napadom sudara ubio SHA-1

Službeno je: Kriptografski algoritam SHA-1 je "SHAttered". Google je uspješno razbio SHA-1. Što sad?

Nakon godina upozoravanja da napredak modernog računanja znači da predstoji uspješan napad sudara na SHA-1, tim istraživača iz Googlea i Centrum Wiskunde & Informatica (CWI) u Nizozemskoj uspješno je razvio prvi uspješni sudar SHA-1. U praktičnom smislu, na SHA-1 se ne bi trebalo pouzdati u praktičnu sigurnost.

Moderne kriptografske hash funkcije ovise o činjenici da algoritam generira različito kriptografsko hash za svaku datoteku. Sukob raspršivanja odnosi se na postojanje dvije odvojene datoteke s istim raspršivanjem. Činjenica da kriptografske slabosti u SHA-1 čine certifikate koji koriste algoritam SHA-1 potencijalno ranjiv na napade sudara je dobro poznata. Nacionalni institut za standarde i tehnologiju zastario je SHA-1 prije više od pet godina, a stručnjaci već dugo potiču organizacije da prijeđu na jače hash algoritme. Do sada je jedino što je išlo za SHA-1 bila činjenica da su napadi sudara i dalje bili skupi i teoretski.

Više ne, jer je istraživački tim pod vodstvom Googlea razvio metodu koja im omogućuje generiranje dvije PDF datoteke s različitim sadržajem, ali generiranje istog SHA-1 heša. Iako je napad sudara još uvijek skup, napad "SHA-1 razbijen" više nije teoretski, što znači da je napad nadomak svima dovoljno motiviranim i s dovoljno dubokim džepovima.

"Započeli smo s izradom PDF prefiksa posebno izrađenog kako bi nam omogućili generiranje dva dokumenta s proizvoljno različitim vizualnim sadržajem, ali to bi se uklapalo u isti SHA-1 sažetak", napisao je tim iz Googlea i CWI u postu na blogu. "Uspjeli smo pronaći ovaj sudar kombinirajući mnoge posebne kriptoanalitičke tehnike na složene načine i poboljšavajući se u odnosu na prethodni rad."

Međutim, vrijedno je napomenuti da će krivotvorenje digitalnih certifikata ostati teško zahvaljujući novim pravilima CA / Browser Foruma koja zahtijevaju dodavanje 20 bitova nasumičnosti na serijske brojeve digitalnih certifikata.

SHA-1 je mrtav; ponašajte se u skladu s tim

U studenom je istraživanje Venafi pokazalo da 35 posto organizacija još uvijek koristi SHA-1 certifikate. "Te bi tvrtke mogle postaviti i znak dobrodošlice za hakere koji kaže:" Ne brinemo o sigurnosti naših aplikacija, podataka i kupaca ", rekao je Kevin Bocek, glavni sigurnosni strateg u Venafiju." Napadi na SHA -1 više nisu znanstvena fantastika. "

Iako su mnoge organizacije radile na migraciji na SHA-2 posljednjih godinu dana, prelazak nije 100 posto dovršen, što znači da su organizacije koje još nisu dovršile (ili započele!) Prebacivanje sada u opasnosti. Napadači sada imaju dokaz da su mogući napadi sudara, a prema Googleovoj politici otkrivanja kôd koji će napadačima omogućiti stvaranje ovih PDF dokumenata bit će javan za 90 dana. Sat otkucava.

Googleov web preglednik Chrome počeo je označavati web mjesta koja još uvijek koriste digitalne certifikate potpisane SHA-1 kao nepovjerljive početkom 2017. godine, a očekuje se da će Microsoft i Mozilla slijediti njihov primjer s Edgeom i Firefoxom. Prema najnovijim smjernicama CA / Browser Foruma, glavnom tijelu koje regulira način na koji izdavatelji certifikata izdaju TLS certifikate, dobavljačima preglednika i CA-ovima zabranjeno je izdavanje SHA-1 certifikata.

Istraživački tim stvorio je mrežni alat koji skenira sudare SHA-1 u dokumentima na web mjestu shattered.io. Google je već integrirao zaštitu u Gmail i Google pogon.

Iako je značajan broj organizacija uzeo upozorenja k srcu i migrirao svoje web stranice, mnoge još uvijek koriste SHA-1 za digitalno potpisivanje softvera i za provjeru digitalnih potpisa i kriptografskih ključeva za infrastrukturu koja nije okrenuta prema mreži, poput ažuriranja softvera, sigurnosnih kopija, i druge aplikacije. Alati za kontrolu inačica također se oslanjaju na SHA-1 - Git se na primjer "snažno oslanja" na SHA-1.

"U osnovi je moguće stvoriti dva GIT spremišta s istim hash-om za pohranu glave i različitim sadržajem, recimo benignim izvornim kodom i backdoored-om", napisali su istraživači na stranici shattered.io. "Napadač bi mogao selektivno poslužiti bilo koje spremište ciljanim korisnicima."

Nebo ne pada ... još

Sve u svemu, napad je i dalje težak, a oružan zlonamjerni softver koji koristi SHAttered neće napadati mreže preko noći. Istraživači su rekli da je otkrivanje sudara bilo teško i da je ponekad izgledalo "nepraktično". "Napokon smo ga riješili opisujući ovaj problem kao sam matematički problem", napisali su istraživači.

Tim je završio ukupno izvodeći više od 9 kvintiliona (9.223.372.036.854.775.808) SHA-1 izračunavanja, što je prevelo na približno 6.500 godina izračunavanja s jednim CPU-om da bi se dovršila prva faza napada i 110 godina izračunavanja s jednim GPU-om kako bi se dovršila druga faza. Tehnika je i dalje više od 100 000 puta brža od napada grubom silom.

Heterogeni CPU klaster korišten u prvoj fazi bio je domaćin Googleu i raširio se na osam fizičkih lokacija. Heterogeni klaster grafičkih procesora K20, K40 i K80 korišten u drugoj fazi također je bio domaćin Googleu.

Iako se ti brojevi čine vrlo velikima, nacionalne države i mnoge velike tvrtke imaju stručnost u kriptoanalizi i financijska sredstva kako bi prikupile dovoljno GPU-a da bi to učinile u razumnom roku, ako to zaista žele.

Još 2015. godine druga skupina istraživača otkrila je metodu koja bi trošak stvaranja uspješnog sudara SHA-1 koristeći Amazonov EC2 oblak stavila između 75.000 i 120.000 američkih dolara. Googleov tim procijenio je da bi izvođenje druge faze napada u Amazonovom EC2 koštalo otprilike 560 000 američkih dolara, no ako je napadač strpljiv i voljan pristupiti sporijem pristupu, taj će se trošak spustiti na 110 000 američkih dolara, i to u rasponu procijenjenom još 2015. godine.

Što je sljedeće?

Industrija od 2011. godine zna da dolazi ovaj dan, a većina dobavljača rekla je da će ubrzati svoje planove i rokove odbacivanja ako jači napad postane stvarnost. NIST preporučuje svima da pređu sa SHA-1 na SHA-2, kao i CA / Browser Forum. Očekujte da ćete od sljedećih nekoliko tjedana čuti nove vremenske rokove i rasporede od glavnih dobavljača i u skladu s tim ugraditi promjene u svoju infrastrukturu.

"Znamo da je SHA-1 godinama bio na straži", rekao je Tod Beardsley, direktor istraživanja u Rapid7. “Jednom kad tehnologija postane uobičajena na internetu, gotovo je nemoguće ukloniti je, čak i pred ogromnim dokazima njezine nesigurnosti. Međutim, još nisam sasvim spreman za paniku zbog ovog otkrića. "

Ali SHA-2 podložan je istim matematičkim slabostima kao SHA-1, pa zašto onda ne prijeći na jači algoritam SHA-3, koji ne dijeli ista pitanja? Kao što mi je rekao Roger Grimes, to nije praktična ideja iz nekoliko razloga, a vjerojatno bi dovelo do širokih poteškoća i operativnih izazova. Iako NIST preporučuje prelazak na SHA-3 od kolovoza 2015., praktički ga niti jedan operativni sustav ili softver ne podržava prema zadanim postavkama. Također, SHA-2 se ne smatra operativno slabim kao SHA-1 jer su njegove hash duljine duže, pa je zasad dovoljno dobro za upotrebu. Duljine hasha SHA-2 kreću se od 192 bita do 512 bita, iako je 256 bita najčešće. Većina dobavljača s vremenom će početi dodavati više podrške za SHA-3, paNajbolje je iskoristiti migraciju na SHA-2 kao priliku da naučite što učiniti za neizbježnu migraciju SHA-2-na-SHA-3.

Upozorenja su bila cijelo vrijeme, a sada je vrijeme za upozorenja prošlo. IT timovi trebaju dovršiti migraciju SHA-1 na SHA-2 i trebali bi se poslužiti viješću da je uspješan napad sudara sada na dohvat ruke kao čekić za tučenje uprave dajući prednost projektu.