Προγραμματισμός

Η Google σκοτώνει το SHA-1 με επιτυχημένη επίθεση σύγκρουσης

Είναι επίσημος: Ο κρυπτογραφικός αλγόριθμος SHA-1 έχει "SHAttered." Η Google έσπασε με επιτυχία το SHA-1. Και τώρα τι?

Μετά από χρόνια προειδοποίησης ότι η πρόοδος στον σύγχρονο υπολογιστή σήμαινε επικείμενη επίθεση σύγκρουσης κατά του SHA-1, μια ομάδα ερευνητών από την Google και το Centrum Wiskunde & Informatica (CWI) στις Κάτω Χώρες ανέπτυξαν με επιτυχία την πρώτη επιτυχημένη σύγκρουση SHA-1. Σε πρακτικούς όρους, το SHA-1 δεν πρέπει να βασιστείτε στην πρακτική ασφάλεια.

Οι σύγχρονες λειτουργίες κρυπτογραφικού κατακερματισμού εξαρτώνται από το γεγονός ότι ο αλγόριθμος δημιουργεί ένα διαφορετικό κρυπτογραφικό κατακερματισμό για κάθε αρχείο. Μια σύγκρουση κατακερματισμού αναφέρεται σε δύο ξεχωριστά αρχεία με τον ίδιο κατακερματισμό. Είναι γνωστό το γεγονός ότι οι κρυπτογραφικές αδυναμίες στο SHA-1 κάνουν πιστοποιητικά χρησιμοποιώντας τον αλγόριθμο SHA-1 που είναι δυνητικά ευάλωτοι σε επιθέσεις σύγκρουσης είναι γνωστό. Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας καταργεί το SHA-1 πριν από περισσότερα από πέντε χρόνια, και οι ειδικοί προτρέπουν από καιρό τους οργανισμούς να στραφούν σε ισχυρότερους αλγόριθμους κατακερματισμού. Μέχρι τώρα, το μόνο πράγμα που συνέβαινε για το SHA-1 ήταν το γεγονός ότι οι επιθέσεις σύγκρουσης ήταν ακόμη ακριβές και θεωρητικές.

Όχι πλέον, καθώς η ερευνητική ομάδα της Google έχει αναπτύξει μια μέθοδο που τους επιτρέπει να δημιουργούν δύο αρχεία PDF με διαφορετικό περιεχόμενο, αλλά παράγουν το ίδιο κατακερματισμό SHA-1. Ενώ η επίθεση σύγκρουσης είναι ακόμα ακριβή, η επίθεση "SHA-1 shattered" δεν είναι πλέον θεωρητική, πράγμα που σημαίνει ότι η επίθεση είναι προσιτή σε οποιονδήποτε έχει αρκετά κίνητρα και με αρκετά βαθιές τσέπες.

"Ξεκινήσαμε δημιουργώντας ένα πρόθεμα PDF ειδικά κατασκευασμένο για να μας επιτρέψει να δημιουργήσουμε δύο έγγραφα με αυθαίρετα διακριτά οπτικά περιεχόμενα, αλλά αυτό θα είχε το ίδιο χάσμα SHA-1", έγραψε η ομάδα της Google και της CWI σε μια ανάρτηση ιστολογίου. «Καταφέραμε να βρούμε αυτήν τη σύγκρουση συνδυάζοντας πολλές ειδικές κρυπτοαναλυτικές τεχνικές με πολύπλοκους τρόπους και βελτιώνοντας την προηγούμενη δουλειά».

Ωστόσο, αξίζει να σημειωθεί ότι η πλαστογράφηση ψηφιακών πιστοποιητικών θα παραμείνει δύσκολη χάρη στους νέους κανόνες CA / Browser Forum που απαιτούν 20 bit τυχαίας προσθήκης σε σειριακούς αριθμούς ψηφιακών πιστοποιητικών.

Το SHA-1 είναι νεκρό. ενεργήστε αναλόγως

Τον Νοέμβριο, η έρευνα του Venafi διαπίστωσε ότι το 35% των οργανισμών εξακολουθούσαν να χρησιμοποιούν πιστοποιητικά SHA-1. "Αυτές οι εταιρείες θα μπορούσαν επίσης να παρουσιάσουν ένα ευπρόσδεκτο σημάδι για τους χάκερ που λέει," Δεν ενδιαφερόμαστε για την ασφάλεια των εφαρμογών, των δεδομένων και των πελατών μας ", δήλωσε ο Kevin Bocek, επικεφαλής στρατηγικός ασφαλείας της Venafi." Επιθέσεις εναντίον της SHA -1 δεν είναι πλέον επιστημονική φαντασία. "

Παρόλο που πολλοί οργανισμοί εργάζονται για τη μετάβαση στο SHA-2 για το προηγούμενο έτος, η μετάβαση δεν είναι 100% ολοκληρωμένη, πράγμα που σημαίνει ότι οι οργανισμοί που δεν έχουν ολοκληρώσει (ή έχουν ξεκινήσει!) Η αλλαγή τους κινδυνεύουν τώρα. Οι επιτιθέμενοι έχουν πλέον αποδεικτικές επιθέσεις σύγκρουσης και, σύμφωνα με την πολιτική αποκάλυψης της Google, ο κώδικας που θα επέτρεπε στους εισβολείς να δημιουργήσουν αυτά τα έγγραφα PDF θα είναι δημόσιος σε 90 ημέρες. Το ρολόι χτυπά.

Το πρόγραμμα περιήγησης ιστού Chrome της Google άρχισε να επισημαίνει ιστότοπους που εξακολουθούν να χρησιμοποιούν ψηφιακά πιστοποιητικά υπογεγραμμένα με το SHA-1 ως μη αξιόπιστα στις αρχές του 2017 και η Microsoft και η Mozilla αναμένεται να ακολουθήσουν το ίδιο με τους Edge και Firefox. Σύμφωνα με τις πιο πρόσφατες οδηγίες από το CA / Browser Forum, ο κύριος φορέας που ρυθμίζει τον τρόπο με τον οποίο οι αρχές έκδοσης πιστοποιητικών εκδίδουν πιστοποιητικά TLS, οι προμηθευτές προγράμματος περιήγησης και οι CA απαγορεύεται να εκδίδουν πιστοποιητικά SHA-1.

Η ερευνητική ομάδα δημιούργησε ένα διαδικτυακό εργαλείο που σαρώνει τις συγκρούσεις SHA-1 σε έγγραφα στον ιστότοπο shattered.io. Η Google έχει ήδη ενσωματώσει τις προστασίες στο Gmail και στο Google Drive.

Ενώ ένας σημαντικός αριθμός οργανισμών έχουν λάβει υπόψη τις προειδοποιήσεις και μετανάστευσαν τους ιστότοπούς τους, πολλοί εξακολουθούν να χρησιμοποιούν το SHA-1 για ψηφιακή υπογραφή λογισμικού και για την επαλήθευση ψηφιακών υπογραφών και κρυπτογραφικών κλειδιών για υποδομή που δεν αντιμετωπίζει τον ιστό, όπως ενημερώσεις λογισμικού, συστήματα δημιουργίας αντιγράφων ασφαλείας, και άλλες εφαρμογές. Τα εργαλεία ελέγχου εκδόσεων βασίζονται επίσης στο SHA-1 - το Git για παράδειγμα "βασίζεται έντονα" στο SHA-1.

"Είναι ουσιαστικά δυνατό να δημιουργηθούν δύο αποθετήρια GIT με το ίδιο hash head head και διαφορετικό περιεχόμενο, λένε έναν καλοήθη πηγαίο κώδικα και έναν backdoored", έγραψαν οι ερευνητές στον ιστότοπο shattered.io. "Ένας εισβολέας θα μπορούσε ενδεχομένως να εξυπηρετήσει επιλεκτικά είτε ένα αποθετήριο σε στοχευμένους χρήστες."

Ο ουρανός δεν πέφτει ... ακόμα

Ωστόσο, η επίθεση είναι ακόμα δύσκολη και το οπλισμένο κακόβουλο λογισμικό που χρησιμοποιεί το SHAttered δεν πρόκειται να χτυπήσει δίκτυα μια μέρα στην άλλη. Οι ερευνητές δήλωσαν ότι η εύρεση της σύγκρουσης ήταν δύσκολη και μερικές φορές φαινόταν «ανέφικτη». "Το επιλύσαμε τελικά περιγράφοντας αυτό το πρόβλημα ως ένα μαθηματικό πρόβλημα", έγραψαν οι ερευνητές.

Η ομάδα ολοκλήρωσε περισσότερους από 9 quintillion (9.223.372.036.854.775.808) υπολογισμούς SHA-1 συνολικά, οι οποίοι μετέφρασαν περίπου 6.500 χρόνια υπολογισμούς μονής CPU για την ολοκλήρωση της πρώτης φάσης της επίθεσης και 110 χρόνια υπολογισμών μονής GPU για την ολοκλήρωση του δεύτερη φάση. Η τεχνική είναι ακόμη περισσότερο από 100.000 φορές γρηγορότερη από μια επίθεση brute-force.

Το ετερογενές σύμπλεγμα CPU που χρησιμοποιήθηκε στην πρώτη φάση φιλοξενήθηκε από την Google και εξαπλώθηκε σε οκτώ φυσικές τοποθεσίες. Το ετερογενές σύμπλεγμα των G20 K20, K40 και K80 που χρησιμοποιήθηκαν στη δεύτερη φάση φιλοξενήθηκε επίσης από την Google.

Ενώ αυτοί οι αριθμοί φαίνονται πολύ μεγάλοι, τα κράτη-έθνη και πολλές μεγάλες εταιρείες έχουν την τεχνογνωσία κρυπτοανάλυσης και τους οικονομικούς πόρους για να αποκτήσουν αρκετές GPU για να το κάνουν αυτό σε εύλογο χρόνο, αν το ήθελαν πραγματικά.

Το 2015, μια διαφορετική ομάδα ερευνητών αποκάλυψε μια μέθοδο που θα έβαζε το κόστος δημιουργίας μιας επιτυχημένης σύγκρουσης SHA-1 χρησιμοποιώντας το σύννεφο EC2 του Amazon μεταξύ 75.000 και 120.000 $. Η ομάδα της Google υπολόγισε ότι η εκτέλεση της δεύτερης φάσης της επίθεσης στο EC2 του Amazon θα κόστιζε περίπου 560.000 $, αλλά αν ο εισβολέας είναι υπομονετικός και πρόθυμος να ακολουθήσει την πιο αργή προσέγγιση, το κόστος μειώνεται στα 110.000 $, εντός του εύρους που εκτιμάται το 2015.

Τι έπεται?

Η βιομηχανία γνωρίζει από το 2011 ότι ερχόταν αυτή η μέρα, και οι περισσότεροι πωλητές δήλωσαν ότι θα επιταχύνουν τα σχέδια και τις προθεσμίες απόσυρσής τους εάν μια ισχυρότερη επίθεση γίνει πραγματικότητα. Το NIST συνιστά σε όλους να μετακινηθούν από το SHA-1 στο SHA-2, όπως και το CA / Browser Forum. Περιμένετε να ακούσετε νέα χρονοδιαγράμματα και χρονοδιαγράμματα από μεγάλους προμηθευτές τις επόμενες εβδομάδες και να ενσωματώσετε τις αλλαγές ανάλογα στην υποδομή σας.

«Γνωρίζουμε ότι το SHA-1 παρακολουθεί θανάτου εδώ και χρόνια», δήλωσε ο Tod Beardsley, διευθυντής έρευνας στο Rapid7. «Μόλις μια τεχνολογία γίνει συνηθισμένη στο Διαδίκτυο, είναι σχεδόν αδύνατο να την εξαλείψουμε, ακόμη και όταν αντιμετωπίζουμε τεράστια στοιχεία για την ανασφάλεια της. Ωστόσο, δεν είμαι ακόμη έτοιμος να πανικοβληθώ για αυτό το εύρημα ακόμα. "

Αλλά το SHA-2 υπόκειται στις ίδιες μαθηματικές αδυναμίες με το SHA-1, οπότε γιατί να μην προχωρήσουμε στον ισχυρότερο αλγόριθμο SHA-3, ο οποίος δεν έχει τα ίδια ζητήματα; Όπως μου είπε ο Roger Grimes, αυτό δεν είναι πρακτική ιδέα για διάφορους λόγους και πιθανότατα θα οδηγούσε σε δυσκολίες και επιχειρησιακές προκλήσεις ευρείας κλίμακας. Παρόλο που το NIST προτείνει τη μετάβαση στο SHA-3 από τον Αύγουστο του 2015, ουσιαστικά κανένα λειτουργικό σύστημα ή λογισμικό δεν το υποστηρίζει από προεπιλογή. Επίσης, το SHA-2 δεν θεωρείται τόσο λειτουργικά ασθενές όσο το SHA-1 επειδή τα μήκη κατακερματισμού του είναι μεγαλύτερα, επομένως είναι αρκετά καλό για χρήση προς το παρόν. Τα μήκη κατακερματισμού SHA-2 κυμαίνονται από 192 bit έως 512 bit, αν και τα 256 bit είναι τα πιο συνηθισμένα. Οι περισσότεροι προμηθευτές θα αρχίσουν να προσθέτουν περισσότερη υποστήριξη SHA-3 με την πάροδο του χρόνου, οπότε είναι καλύτερο να χρησιμοποιήσετε τη μετεγκατάσταση στο SHA-2 ως την ευκαιρία να μάθετε τι να κάνετε για την αναπόφευκτη μετεγκατάσταση SHA-2-to-SHA-3.

Οι προειδοποιήσεις ήταν εκεί και τώρα η ώρα για προειδοποιήσεις τελείωσε. Οι ομάδες IT πρέπει να ολοκληρώσουν τη μετεγκατάσταση SHA-1 σε SHA-2 και θα πρέπει να χρησιμοποιήσουν τις ειδήσεις ότι μια επιτυχημένη επίθεση σύγκρουσης είναι πλέον εφικτή, καθώς το σφυρί για τη διαχείριση του bludgeon δίνει προτεραιότητα στο έργο.