Исследователи обнаружили, что алгоритм расчета хэшей SHA-1 можно атаковать более дешевыми методами, чем это считалось возможным ранее. Безопасникам удалось разработать новую атаку на алгоритм SHA-1, который до сих пор используется для подписания каждого третьего SSL-сертификата для крупных веб-сайтов.

В SHA-1 уже находили слабые места, и современные веб-браузеры перестанут принимать SSL-сертификаты, подписанные этим алгоритмом, после 1 января 2017 года. Эта дата установлена исходя из скорости снижения стоимости вычислительных затрат, требующихся для атаки на алгоритм. Предполагалось, что уровень затрат от $75 тыс. до $120 тыс. на процессорное время публичных облачных сервисов будет доступен для криминальных организаций, и это случится до 2018 года.

Как раз сейчас Certification Authority/Browser Forum рассматривает возможность продолжения выпуска SSL-сертификатов, подписанных SHA-1, после оговоренной даты. Исследователи рекомендуют отвергнуть эту идею.

Хэш-алгоритмы вроде SHA-1 считаются безопасными, если гораздо сложнее создать документ, соответствующий данному хэшу, чем вычислить хэш имеющегося документа. Если кто-то сможет создать два разных файла с одним хэшем, будет возможно подписать один файл, а затем заменить его вредоносным, и разницу нельзя будет определить проверкой цифровой подписи. Это называется атакой идентичного префикса.

Возможен гораздо худший исход, если кто-нибудь сможет взять существующий документ с известным хэшем и создаст новый файл, соответствующий этому хэшу. Это называется атакой с известным префиксом. Такая атака позволяет подменять не только файлы приложений, но и SSL-сертификаты.

Новая атака на функцию компрессии SHA-1 была описана Томасом Пейрином (Thomas Peyrin) из Наньянского технологического университета в Сингапуре, Марком Стивенсом (Marc Stevens) из голландского Центра математики и информатики и Пьером Карпманом (Pierre Karpman) из Наньянского технологического университета и французского Государственного института исследований в информатике и автоматике.

Функция компрессии перебирает сообщение блок за блоком, вычисляя хэш, скомбинированный с хэшем предыдущих блоков. В случае SHA-1 это требует 80 итераций, и исследователи сообщили, что их атака позволяет взломать все 80 итераций. К счастью, новый метод позволяет лишь упростить атаку идентичного префикса на SHA-1, это значит, что генерировать поддельные SSL-сертификаты пока не получится.

«Мы предлагаем отрасли не играть с огнем, а ускорить процесс миграции на SHA-2 и SHA-3 до того, как столь драматичная атака станет возможной», — написал Пейрин в отчете об исследовании.

Категории: Другие темы