Google убива SHA-1 с успешна атака на сблъсък

Официално е: Криптографският алгоритъм SHA-1 е „SHAttered“. Google успешно разби SHA-1. Сега какво?

След години на предупреждение, че напредъкът в съвременните изчисления означава успешна атака на сблъсък срещу SHA-1, екип от изследователи от Google и Centrum Wiskunde & Informatica (CWI) в Холандия успешно разработиха първия успешен сблъсък SHA-1. На практика, на SHA-1 не трябва да се разчита за практическа сигурност.

Съвременните криптографски хеш функции зависят от факта, че алгоритъмът генерира различен криптографски хеш за всеки файл. Сблъсъкът на хеш се отнася до наличието на два отделни файла с един и същ хеш. Фактът, че криптографските слабости в SHA-1 правят сертификати, използващи алгоритъма SHA-1, потенциално уязвим за атаки на сблъсък, е добре известен. Националният институт за стандарти и технологии оттегли SHA-1 преди повече от пет години и експертите отдавна призовават организациите да преминат към по-силни хеш алгоритми. Досега единственото, което се случваше за SHA-1, беше фактът, че атаките на сблъсъци все още бяха скъпи и теоретични.

Вече не, тъй като изследователският екип, ръководен от Google, разработи метод, който им позволява да генерират два PDF файла с различно съдържание, но генерирайки един и същ хеш SHA-1. Въпреки че атаката на сблъсък все още е скъпа, атаката "SHA-1 shattered" вече не е теоретична, което означава, че атаката е в обсега на всеки достатъчно мотивиран и с достатъчно дълбоки джобове.

„Започнахме със създаването на PDF префикс, специално създаден, за да ни позволи да генерираме два документа с произволно различно визуално съдържание, но това би хеширало към същия дайджест на SHA-1“, написа екипът от Google и CWI в публикация в блог. "Успяхме да открием този сблъсък, като комбинирахме много специални криптоаналитични техники по сложни начини и подобрихме предишната работа."

Струва си обаче да се отбележи, че фалшифицирането на цифрови сертификати ще остане трудно благодарение на новите правила на CA / Browser Forum, които изискват 20 бита произволност да бъдат добавени към серийните номера на цифровите сертификати.

SHA-1 е мъртъв; Дръж се подобаващо

През ноември изследването на Venafi установи, че 35 процента от организациите все още използват сертификати SHA-1. „Тези компании също биха могли да поставят знак за добре дошли за хакери, който казва:„ Ние не се интересуваме от сигурността на нашите приложения, данни и клиенти “, каза Кевин Бочек, главен стратег по сигурността във Venafi.„ Атаки срещу SHA -1 вече не са научна фантастика. "

Въпреки че много организации са работили по миграцията към SHA-2 през последната година, преминаването не е на 100 процента завършено, което означава, че организациите, които все още не са завършили (или са започнали!) Преминаването си сега са изложени на риск. Сега атакуващите имат доказателство, че са възможни атаки за сблъсък и съгласно политиката на Google за разкриване кодът, който ще позволи на хакерите да създават тези PDF документи, ще бъде публичен след 90 дни. Часовникът тиктака.

Уеб браузърът на Google Chrome започна да маркира уебсайтовете, които все още използват цифрови сертификати, подписани с SHA-1, като недоверени в началото на 2017 г., а Microsoft и Mozilla се очаква да последват примера с Edge и Firefox. Съгласно последните насоки на CA / Browser Forum, основният орган, регулиращ как сертифициращите органи издават TLS сертификати, на доставчиците на браузъри и CAs е забранено да издават SHA-1 сертификати.

Изследователският екип създаде онлайн инструмент, който сканира за сблъсъци SHA-1 в документи на уебсайта shattered.io. Google вече е интегрирал защити в Gmail и Google Drive.

Докато значителен брой организации приеха предупрежденията присърце и мигрираха своите уебсайтове, много от тях все още използват SHA-1 за софтуер за цифрово подписване и за проверка на цифрови подписи и криптографски ключове за инфраструктура, която не е насочена към мрежата, като софтуерни актуализации, системи за архивиране, и други приложения. Инструментите за контрол на версиите също разчитат на SHA-1 - Git например "силно разчита" на SHA-1.

„По същество е възможно да се създадат две хранилища на GIT с един и същ хеш за ангажиране на главата и различно съдържание, да речем доброкачествен изходен код и такъв с обратна връзка“, пишат изследователите на сайта shattered.io. „Атакуващият може потенциално селективно да обслужва всяко хранилище на целеви потребители.“

Небето не пада ... все още

Всичко това каза, че атаката все още е трудна и въоръженият злонамерен софтуер, използващ SHAttered, няма да удари мрежи за една нощ. Изследователите твърдят, че сблъсъкът е труден и понякога изглежда "непрактичен". „Най-накрая го решихме, като описахме този проблем като самия математически проблем“, пишат изследователите.

Екипът завърши, изпълнявайки общо над 9 квинтилиона (9 223 372 036 854 775 808) изчисления SHA-1, което преведе на приблизително 6500 години изчисления с един процесор, за да завърши първата фаза на атаката, и 110 години изчисления с един GPU, за да завърши втора фаза. Техниката все още е над 100 000 пъти по-бърза от атаката с груба сила.

Хетерогенният клъстер на процесора, използван през първата фаза, бе хостван от Google и се разпространява в осем физически местоположения. Хетерогенният клъстер от графични процесори K20, K40 и K80, използвани във втората фаза, също беше домакин на Google.

Въпреки че тези цифри изглеждат много големи, националните държави и много големи компании разполагат с опит в криптоанализата и финансови ресурси, за да получат достатъчно графични процесори, за да направят това в разумен срок, ако наистина са искали.

Още през 2015 г. различна група изследователи разкриха метод, който би поставил разходите за създаване на успешен сблъсък SHA-1 с помощта на облака EC2 на Amazon между 75 000 и 120 000 долара. Екипът на Google изчисли, че провеждането на втората фаза на атаката в EC2 на Amazon ще струва приблизително 560 000 долара, но ако нападателят е търпелив и желае да предприеме по-бавния подход, тази цена спада до 110 000 долара, в рамките на прогнозния диапазон през 2015 г.

Какво следва?

Индустрията знае от 2011 г., че този ден идва и повечето доставчици заявиха, че ще ускорят своите планове и срокове за отказ, ако по-силна атака стане реалност. NIST препоръчва на всички да преминат от SHA-1 към SHA-2, както и CA / Browser Forum. Очаквайте да чуете нови срокове и графици от големите доставчици през следващите няколко седмици и да включите съответно промените във вашата инфраструктура.

„Знаем, че SHA-1 от години наблюдава смъртта“, каза Тод Биърдсли, директор на изследването в Rapid7. „След като дадена технология стане нещо обичайно в интернет, е почти невъзможно да се премахне, дори и пред огромните доказателства за нейната несигурност. Все още обаче не съм съвсем готов да се паникьосвам заради тази констатация. "

Но SHA-2 е обект на същите математически слабости като SHA-1, така че защо да не преминем към по-силния алгоритъм SHA-3, който не споделя същите проблеми? Както ми каза Роджър Граймс, това не е практическа идея по няколко причини и вероятно ще доведе до широкомащабни трудности и оперативни предизвикателства. Въпреки че NIST препоръчва преминаване към SHA-3 от август 2015 г., практически никоя операционна система или софтуер не го поддържа по подразбиране. Също така, SHA-2 не се счита за оперативно слаб като SHA-1, тъй като неговите хеш-дължини са по-дълги, така че засега е достатъчно добър за използване. SHA-2 хеш дължини варират от 192 бита до 512 бита, въпреки че 256 бита е най-често. Повечето доставчици ще започнат да добавят повече поддръжка на SHA-3 с течение на времето, така чеНай-добре е да използвате миграцията към SHA-2 като възможност да научите какво да правите за неизбежната миграция SHA-2-към-SHA-3.

Предупрежденията бяха налице през цялото време и сега времето за предупреждения свърши. Екипите на ИТ трябва да завършат миграцията SHA-1 към SHA-2 и трябва да използват новината, че успешната атака на сблъсък вече е наближила, като чук за управлението, за да даде приоритет на проекта.