Kolizja w SHA‑1. Najpopularniejsza w Sieci funkcja skrótu złamana na kartach Nvidii
SHA-1, kryptograficzna funkcja skrótu, wciąż powszechnieużywana w licznych protokołach internetowych i aplikacjach (m.in.TLS, PGP, SSH, IPsec, S/MIME i Git), została właśnie złamanarelatywnie niewielkim kosztem. Kryptolodzy wiedzieli, że nastąpi towcześniej czy później i czas przenieść się na mocniejszealgorytmy, ale jak do tej pory szło to opornie. Na przykład Google,Mozilla i Microsoft ogłosiły, że ich przeglądarki przestanąobsługiwać certyfikaty SSL używające SHA-1, ale dopiero w 2017roku. W obecnej sytuacji trzeba będzie jednak zakasać rękawy isięgnąć po zwycięzcę konkursu na algorytm SHA-3, czyli Keccaka.
09.10.2015 09:24
Jeszcze w 2012 roku uważano, że SHA-1 upadnie najwcześniej w2017 roku, a koszt takiego ataku, znalezienia kolizji skrótów, nieprzekroczy 200 tys. dolarów. Bycie optymistą w kryptografii jednaknie popłaca. Analizujący to osiągnięcie Bruce Schneier napisałna swoim blogu: jest takie powiedzenie w NSA – ataki stają sięcoraz lepsze, nigdy nie stają się gorsze. Wyjaśnienie jestproste: po pierwsze, komputery są coraz szybsze, co przyspieszakażdy atak kryptoanalityczny, po drugie każdy atak jest nieustannieulepszany, co zwiększa jego wydajność, po trzecie ciąglewymyślane są nowe ataki.
Zaprezentowana w artykulept. Freestart collision for full SHA-1 metoda ataku należy dotej drugiej kategorii – to optymalizacja wcześniej znanych metod.W jej wyniku udało się po raz pierwszy w pełni złamać pełne 80cykli SHA-1. Zajęło to 10 dni obliczeń z wykorzystaniem klastrawykorzystującego do obliczeń 64 karty graficzne GTX 970 Nvidii. Jejautorzy, Marc Stevens, Pierre Karpman i Thomas Peyrin – matematycyz Holandii i Singapuru – szacują, że dzisiaj osoby nieposiadającetakiego klastra mogą odtworzyć atak z wykorzystaniem chmurobliczeniowych, płacąc za to ok. 75 tys. dolarów. Jak widać, niejest to kwota wygórowana dla grup przestępczych czy władzpaństwowych.
Przedstawiona w ich pracy kolizja, biorąca na cel wewnętrznąfunkcję kompresji SHA-1 nie oznacza bezpośrednio kolizji dlaSHA-1, ale jest ważnym krokiem naprzód, pokazującym jak kartygraficzne mogą być efektywnie wykorzystane do łamania funkcjiskrótu. Odkrywcy wzywają więc producentów oprogramowania, wszczególności producentów przeglądarek, do natychmiastowegowycofania SHA-1 ze swojego oprogramowania. Mają nadzieję, żebranża się czegoś nauczyła po upadku funkcji MD5 i zareaguje naczas, zanim fałszowanie podpisów stanie się praktyką na skalęprzemysłową.
Z aktualną sytuacją w tej kwestii możecie zapoznać się nastronie TheSHAppening. Warto dodać, że odkrycie pojawiło się na czas –niektóre urzędy certyfikacyjne chciały wydłużyć czas wydawaniacertyfikatów SHA-1, tłumacząc się, że przejście na SHA-3(Keccak) wiąże się z wieloma trudnościami technicznymi.Głosowaniew tej sprawie zakończyć się ma 16 października – i miejmynadzieję, że pomysł ten zostanie odrzucony.