Tai oficialu: SHA-1 kriptografinis algoritmas buvo „SHAttered“. „Google“ sėkmingai sulaužė SHA-1. Kas dabar?
Po daugelio metų perspėjimo, kad šiuolaikinės kompiuterijos pažanga reiškia neišvengiamą sėkmingą susidūrimą su SHA-1, „Google“ ir Nyderlandų „Centrum Wiskunde & Informatica“ (CWI) tyrėjų komanda sėkmingai sukūrė pirmąjį sėkmingą SHA-1 susidūrimą. Praktiškai SHA-1 neturėtų būti remiamasi siekiant praktinio saugumo.
Šiuolaikinės kriptografinės maišos funkcijos priklauso nuo to, kad algoritmas kiekvienam failui sukuria skirtingą kriptografinį maišos variantą. Maišos susidūrimas reiškia dviejų atskirų failų su ta pačia maiša turėjimą. Tai, kad dėl kriptografinių SHA-1 trūkumų sertifikatai naudojami naudojant SHA-1 algoritmą, kuris gali būti pažeidžiamas susidūrimo atakų, yra gerai žinoma. Nacionalinis standartų ir technologijų institutas daugiau nei prieš penkerius metus nebeveikė SHA-1, ir ekspertai jau seniai ragina organizacijas pereiti prie tvirtesnių maišos algoritmų. Iki šiol vienintelis SHA-1 dalykas buvo tai, kad susidūrimo atakos vis dar buvo brangios ir teoriškos.
Nebe, nes „Google“ vadovaujama tyrimų komanda sukūrė metodą, leidžiantį jiems generuoti du skirtingo turinio PDF failus, bet sugeneruojančius tą patį SHA-1 maišos variantą. Nors susidūrimo ataka vis dar yra brangi, „SHA-1 sutriuškinta“ ataka nebėra teorinė, o tai reiškia, kad ataka yra pasiekiama visiems, pakankamai motyvuotiems ir turintiems pakankamai gilias kišenes.
"Mes pradėjome sukurti PDF prefiksą, specialiai sukurtą tam, kad galėtume generuoti du dokumentus su savavališkai skiriamu vaizdiniu turiniu, tačiau tai sukeltų tą patį SHA-1 santrauką", - tinklaraščio įraše rašė "Google" ir CWI komanda. "Mums pavyko rasti šį susidūrimą, kompleksiškai sujungus daugybę specialių kriptananalitinių metodų ir tobulinant ankstesnį darbą."
Tačiau verta paminėti, kad dėl naujų CA / Naršyklių forumo taisyklių, kurios reikalauja, kad prie skaitmeninių sertifikatų serijos numerių būtų pridėta 20 bitų atsitiktinumo, skaitmeninius sertifikatus klastoti bus sunku.
SHA-1 yra miręs; elgtis atitinkamai
Lapkritį atlikus Venafi tyrimą nustatyta, kad 35 procentai organizacijų vis dar naudoja SHA-1 sertifikatus. „Šios bendrovės taip pat gali įsidėti įsilaužėlių pasveikinimo ženklą, kuriame sakoma:„ Mums nerūpi mūsų programų, duomenų ir klientų saugumas “, - sakė Kevinas Bocekas,„ Venafi “vyriausiasis saugumo strategas. -1 nebėra mokslinė fantastika “.
Nors praėjusiais metais daugelis organizacijų stengėsi pereiti prie SHA-2, perėjimas nėra 100 proc. Baigtas, o tai reiškia, kad organizacijoms, kurios dar nebaigė (arba nepradėjo!), Yra pavojus. Užpuolikai dabar gali įrodyti susidūrimo išpuolius. Pagal „Google“ informacijos atskleidimo politiką kodas, leidžiantis užpuolikams kurti šiuos PDF dokumentus, bus viešas po 90 dienų. Laikrodis tiks.
„Google“ naršyklė „Chrome“ pradėjo žymėti svetaines, kuriose vis dar naudojami skaitmeniniai sertifikatai, pasirašyti naudojant SHA-1, kaip nepatikimas 2017 m. Pradžioje, ir tikimasi, kad „Microsoft“ ir „Mozilla“ paseks pavyzdžiu su „Edge“ ir „Firefox“. Pagal naujausias CA / Naršyklių forumo gaires pagrindinė įstaiga, reglamentuojanti, kaip sertifikatų institucijos išduoda TLS sertifikatus, naršyklės pardavėjams ir CA draudžiama išduoti SHA-1 sertifikatus.
Tyrėjų grupė sukūrė internetinį įrankį, kuris nuskaito SHA-1 susidūrimus dokumentuose, esančiuose shattered.io svetainėje. „Google“ jau integravo apsaugą į „Gmail“ ir „Google“ diską.
Nors nemaža dalis organizacijų atsižvelgė į įspėjimus ir perkėlė savo svetaines, daugelis vis dar naudoja SHA-1 skaitmeniniam programinės įrangos pasirašymui ir skaitmeninių parašų bei kriptografinių raktų tikrinimui, kad būtų sukurta ne internetinė infrastruktūra, pvz., Programinės įrangos atnaujinimai, atsarginės sistemos, ir kitas programas. Versijų valdymo įrankiai taip pat remiasi SHA-1 - pavyzdžiui, „Git“ „labai pasikliauja“ SHA-1.
„Iš esmės įmanoma sukurti dvi GIT talpyklas su ta pačia galva, kurioje yra maišos ir skirtingas turinys, tarkime, gerybinis ir užpakalinis“, - tyrėjai rašė svetainėje shattered.io. "Užpuolikas gali pasirinktinai aptarnauti bet kurią saugyklą tiksliniams vartotojams."
Dangus nenukrenta ... dar
Visa tai pasakė, kad ataka vis dar yra sunki, o ginkluota kenkėjiška programa, naudojant SHAttered, nebus pasiekiama tinklų per naktį. Tyrėjai teigė, kad susidūrimą rasti buvo sunku ir kartais atrodė „nepraktiška“. „Mes pagaliau išsprendėme šią problemą apibūdindami kaip pačią matematinę problemą“, - rašė tyrėjai.
Komanda baigė atlikti daugiau nei 9 kvintilijonus (9 223 372 036 854 775 808) SHA-1 skaičiavimus, kurie sudarė maždaug 6500 vienkartinio procesoriaus skaičiavimų, kad būtų užbaigtas pirmasis atakos etapas, ir 110 metų vieno GPU skaičiavimus, kad užbaigtumėte antrasis etapas. Technika vis dar yra daugiau nei 100 000 kartų greitesnė už žiaurios jėgos ataką.
Pirmajame etape naudojamą heterogeninį procesoriaus klasterį priėmė „Google“ ir jis pasklido aštuoniose fizinėse vietose. Heterogeninį antrame etape naudojamų K20, K40 ir K80 GPU klasterį taip pat priėmė „Google“.
Nors atrodo, kad šie skaičiai yra labai dideli, tautinės valstybės ir daugelis didelių kompanijų turi kriptoanalizės žinių ir finansinių išteklių, kad gautų pakankamai GPU, kad tai padarytų per protingą laiką, jei jos tikrai to norėtų.
Dar 2015 m. Kita tyrėjų grupė atskleidė metodą, pagal kurį sėkmingo SHA-1 susidūrimo, naudojant „Amazon“ EC2 debesį, sukūrimo išlaidos būtų nuo 75 000 iki 120 000 USD. „Google“ komanda apskaičiavo, kad antrojo atakos etapo vykdymas „Amazon EC2“ kainuos apytiksliai 560 000 USD, tačiau jei užpuolikas yra kantrus ir nori lėtesnio požiūrio, tai sumažėja iki 110 000 USD, ir tai yra maždaug 2015 m.
Kas toliau?
Pramonė nuo 2011 m. Žinojo, kad artėja ši diena, ir dauguma pardavėjų teigė, kad paspartins savo nusidėvėjimo planus ir terminus, jei stipresnis išpuolis taps realybe. NIST rekomendavo visiems pereiti nuo SHA-1 prie SHA-2, kaip ir CA / Naršyklės forume. Tikimės, kad per ateinančias kelias savaites išgirsite naujų pagrindinių paslaugų teikėjų tvarkaraščius ir tvarkaraščius, ir atitinkamai įtraukite pakeitimus į savo infrastruktūrą.
"Mes žinome, kad SHA-1 daugelį metų buvo mirties budėjime", - sakė "Rapid7" tyrimų direktorius Todas Beardsley. „Kai technologija internete tampa įprasta, beveik neįmanoma jos panaikinti, net ir esant nepaprastai dideliems jos nesaugumo įrodymams. Tačiau kol kas nesu pasirengęs panikuoti dėl šios išvados “.
Tačiau SHA-2 turi tokias pačias matematines silpnybes kaip ir SHA-1, tad kodėl gi neperėjus prie stipresnio SHA-3 algoritmo, kuris neturi tų pačių problemų? Kaip man sakė Rogeris Grimesas, tai nėra praktiška idėja dėl kelių priežasčių, ir tai greičiausiai sukels plataus masto sunkumus ir veiklos iššūkius. Nors NIST rekomenduoja pereiti prie SHA-3 nuo 2015 m. Rugpjūčio, praktiškai jokia operacinė sistema ar programinė įranga jos nepalaiko pagal numatytuosius nustatymus. Be to, SHA-2 nėra vertinamas taip silpnai, kaip SHA-1, nes jo maišos ilgis yra ilgesnis, todėl kol kas jį naudoti yra pakankamai gera. SHA-2 maišos ilgis svyruoja nuo 192 iki 512 bitų, nors dažniausiai tai yra 256 bitai. Daugelis pardavėjų laikui bėgant pradės pridėti daugiau SHA-3 palaikymo, todėl geriausia naudoti perėjimą prie SHA-2 kaip galimybę sužinoti, ką daryti neišvengiamai perkeliant SHA-2 į SHA-3.
Įspėjimai buvo visą laiką, o dabar įspėjimų laikas baigėsi. IT komandos turi baigti perėjimą nuo SHA-1 iki SHA-2, ir jos turėtų pasinaudoti naujienomis, kad sėkminga susidūrimo ataka dabar yra ranka pasiekiama, kaip plaktukas, leidžiantis valdyti valstybes vadovus pirmenybę teikiant projektui.
