Microsoft, которая уже давно вынашивает планы отказаться от использования уязвимого криптоалгоритма SHA-1 к началу 2017 года, объявила о том, что это событие произойдет на полгода раньше. Компания предполагает, что блокировка TLS-сертификатов, подписанных SHA-1, может начаться уже в июне следующего года.

 Заявление Microsoft по времени практически совпало с аналогичным заявлением Mozilla: последняя объявила в октябре о том, что с 1 июля 2016 года Firefox прекратит принимать сертификаты, использующие SHA-1.

«Мы будем координировать наши действия с другими производителями браузеров, чтобы более точно определить последствия переноса сроков на основе телеметрических данных и прогнозов относительно коллизий при использовании SHA-1», — заявил Кайл Пфлуг (Kyle Pflug), представляющий Microsoft Edge — наследника Internet Explorer.

Спешка связана с результатами научного исследования, опубликованного в прошлом месяце. Команда специалистов-криптографов, подготовившая отчет, уверена, что обладающие достаточными ресурсами организации или хакеры (например, спонсируемые спецслужбами) смогут реализовать атаку коллизией хэша против SHA-1 к концу текущего года — это на три года раньше, чем прогнозировалось ранее. Неудивительно, что вся отрасль стремится поскорее окончательно избавиться от SHA-1.

В 2013 году Microsoft стала одной из первых компаний, объявивших, что собирается отказаться от SHA-1 и RC4. Теоретическая вероятность коллизии хэшей SHA-1 обсуждалась почти целое десятилетие. MozillaGoogle и другие игроки в этом смысле не отставали от Microsoft.

Изначально Mozilla планировала добавить предупреждение для разработчиков в веб-консоль, убеждая их в том, что лучше сертификаты SHA-1 не использовать. С 1 января 2016 года Mozilla также хотела демонстрировать ошибку «Untrusted Connection» при открытии сайта, чей сертификат подписан с помощью SHA-1, а с 1 января 2017 года — каждый раз при обнаружении сайта с сертификатом SHA-1.

Но эти планы изменились после публикации отчета «Freestart collision for full SHA-1«. «Мы раздумываем над тем, чтобы не принимать все SSL-сертификаты с SHA-1 (вне зависимости от даты выдачи)», — заявили в Mozilla 20 октября.

Новая атака на функцию компрессии SHA-1 была описана Томасом Пейрином (Thomas Peyrin) из Наньянского технологического университета в Сингапуре, Марком Стивенсом (Marc Stevens) из голландского Центра математики и информатики и Пьером Карпманом (Pierre Karpman) из Наньянского технологического университета и французского Государственного института исследований в области информатики и автоматики. В работе описываются усовершенствования уже существующих атак и алгоритмы, которые позволят значительно снизить стоимость и сократить время, необходимое для выработки коллизий. С учетом того, что по закону Мура производительность вычислительных систем удваивается каждые два года, момент, когда атаки коллизией хэша SHA-1 реальны, уже не за горами.

Изначально сроки воплощения в жизнь коллизий SHA-1 (называемых атаками идентичного префикса) были определены в работе криптографа Брюса Шнайера (Bruce Schneier) в 2012 году. Он предсказал, что подобная атака будет стоить $700 тыс. к 2015 году и $143 тыс. к 2018 году — обе суммы вполне подъемны для хакерских группировок, имеющих богатого спонсора.

Категории: Кибероборона