Если вы все еще считаете, что практическая атака коллизией хэша против SHA-1 или MD5 — дело далекого будущего, вас, возможно, разубедят новые результаты, полученные двумя исследователями из INRIA, французского национального института по исследованиям в области информатики и автоматизации. Они еще раз доказывают, что пришло время отказаться от этих ненадежных криптографических алгоритмов.

Картхикеян Бхаргаван (Karthikeyan Bhargavan) и Гэтан Лёран (Gaetan Leurent) недавно опубликовали научную статью Transcript Collision Attacks: Breaking Authentication in TLS, IKE, and SSH, в которой рассматривается ряд новых атак на SHA-1 и MD5 в разных реализациях протоколов TLS, IKE и SSH.

«Слабые хэш-функции продолжают использоваться в разных построениях в рамках ходовых криптографических протоколов, таких как TLS, IKE и SSH, поскольку практикующие специалисты в этой области уверены, что их применение в данном случае удовлетворяет требованию стойкости к восстановлению вторых прообразов и этого достаточно, чтобы предотвратить коллизию, — пишут исследователи. — Мы систематически рассматриваем и опровергаем такие аргументы».

PoC-атаки французов, которые они называют SLOTH (Security Loss due to the use of Obsolete and Truncated Hash constructions, поражение в безопасности, связанное с использованием устаревших и усеченных хэш-конструкций), были в основном направлены на реализации SHA-1 и MD5 в протоколах TLS 1.1, 1.3 и 1.3; IKEv1 и v2, а также в SSH 2. Как оказалось, подобные атаки против обоих алгоритмов в ходе аутентификации клиента и сервера по TLS открывают возможность для подмены участника, а также для передачи учетных данных, если атака направлена против привязки канала TLS. В случае с аутентификацией по IKE исследователям удалось осуществить подмену участника; атаки на SHA-1, используемый в SSH 2 и TLS 1.1, позволили произвести откат до более слабого шифра в процессе хэндшейка.

«Основной вывод, к которому мы пришли: продолжение использования MD5 и SHA-1 в популярных криптографических протоколах значительно снижает их безопасность и в отдельных случаях приводит к реальным атакам на ключевые механизмы протокола, — констатируют Бхаргаван и Лёран. — Более того, применение усеченных хэшей и кодов идентификации сообщений в транскрипциях диалога при обмене ключами в ходе аутентификации опасно, этой практики следует избегать по мере возможности».

Французы ознакомили со своими результатами рабочую группу по проблемам TLS, а также другие заинтересованные стороны, которые уже приняли меры к депрекации MD5 там, где это целесообразно.

«Эти изменения касаются Firefox и Android-браузеров, около 31% веб-серверов, большинства серверов Java-приложений и их клиентов, а также многих других приложений, использующих менее известные библиотеки TLS», — отметили исследователи, добавив, что будут публиковать информацию об известных атаках, уязвимом ПО и наличии патчей для протоколов на специализированном сайте.

В статье Бхаргавана и Лёрана рассматриваются также атаки, требующие больших вычислительных мощностей, которые на настоящий момент могут себе позволить лишь хакеры, спонсируемые государством. Так, одна из атак коллизией транскрипции на TLS-подпись сервера, использующую MD5, позволяет откатить шифр со 128 до 64 бит. Показатели для других атак на механизм аутентификации TLS, по свидетельству исследователей, гораздо хуже, и их проще реализовать на практике.

«Во всех случаях сложность проведенных нами атак коллизией транскрипции значительно меньше, чем оценочный объем работ, требуемых для атаки восстановлением вторых прообразов на базовую хэш-функцию, — пишут французы. — Это однозначно решает спор о том, зависит или нет безопасность основных криптографических протоколов от устойчивости к коллизиям. Ответ в данном случае «да», криптографы были правы. За исключением редких случаев, популярные протоколы требуют стойкости к коллизиям как меры защиты от MitM-атак коллизией транскрипций. Вследствие этого мы настоятельно рекомендуем не только упразднить слабые хэш-функции вроде MD5 и SHA-1, но также принудительно отключить их в существующих реализациях».

Категории: Аналитика, Главное, Кибероборона, Уязвимости