Ohjelmointi

Google tappaa SHA-1: n onnistuneella törmäyshyökkäyksellä

Se on virallinen: SHA-1-salausalgoritmi on "SHAttered". Google rikkoi SHA-1: n onnistuneesti. Mitä nyt?

Vuosien varoituksen jälkeen, että nykyaikaisen laskennan kehitys merkitsi onnistunutta törmäyshyökkäystä SHA-1: tä vastaan, oli Googlen ja Alankomaiden Centrum Wiskunde & Informatican (CWI) tutkijaryhmä onnistuneesti kehittänyt ensimmäisen onnistuneen SHA-1-törmäyksen. Käytännössä SHA-1: een ei pitäisi luottaa käytännön turvallisuuden kannalta.

Nykyaikaiset salauksen hajautusfunktiot riippuvat siitä, että algoritmi luo erilaisen salauksen hajautuksen jokaiselle tiedostolle. Hajautus törmäys tarkoittaa kahden erillisen tiedoston omistamista samalla hashilla. Se, että SHA-1: n salauksen heikkoudet tekevät varmenteista SHA-1-algoritmia mahdollisesti alttiina törmäyshyökkäyksille, on tunnettua. National Institute of Standards and Technology hylkäsi SHA-1: n yli viisi vuotta sitten, ja asiantuntijat ovat pitkään kehottaneet organisaatioita siirtymään vahvempiin hajautusalgoritmeihin. Tähän asti SHA-1: n ainoa asia oli se, että törmäyshyökkäykset olivat edelleen kalliita ja teoreettisia.

Ei enää, koska Googlen johtama tutkimusryhmä on kehittänyt menetelmän, jonka avulla he voivat luoda kaksi erilaista PDF-tiedostoa, mutta samalla SHA-1-hash. Vaikka törmäyshyökkäys on edelleen kallista, "SHA-1 särkynyt" -hyökkäys ei ole enää teoreettinen, mikä tarkoittaa, että hyökkäys on kaikkien tarpeeksi motivoituneiden ja riittävän syvien taskujen ulottuvilla.

"Aloitimme luomalla PDF-etuliitteen, joka on erityisesti suunniteltu luomaan kaksi asiakirjaa mielivaltaisesti erillisellä visuaalisella sisällöllä, mutta se hajautettaisiin samaan SHA-1-tiivistelmään", Googlen ja CWI: n tiimi kirjoitti blogikirjoituksessa. "Pystyimme löytämään tämän törmäyksen yhdistämällä monia erityisiä kryptoanalyyttisiä tekniikoita monimutkaisilla tavoilla ja parantamalla aikaisempaa työtä."

On kuitenkin syytä huomata, että digitaalisten varmenteiden väärentäminen on edelleen vaikeaa uusien CA / Browser Forum -sääntöjen ansiosta, jotka edellyttävät, että digitaalisten varmenteiden sarjanumeroihin lisätään 20 bittiä satunnaisuutta.

SHA-1 on kuollut; toimi tilanteen mukaan

Marraskuussa Venafi-tutkimus osoitti, että 35 prosenttia organisaatioista käytti edelleen SHA-1-varmenteita. "Nämä yritykset saattavat yhtä hyvin laittaa hakkereille tervetuliaismerkin, jossa sanotaan:" Emme välitä sovelluksidemme, tietojemme ja asiakkaidemme turvallisuudesta ", sanoi Venafin turvallisuusstrategia Kevin Bocek." Hyökkäykset SHA: ta vastaan ​​" -1 eivät ole enää tieteiskirjallisuutta. "

Vaikka monet organisaatiot ovat työskennelleet siirtymisestä SHA-2: een viimeisen vuoden aikana, vaihto ei ole 100 prosenttia valmis, mikä tarkoittaa, että organisaatiot, jotka eivät ole vielä päättäneet (tai aloittaneet!) Vaihtoaan, ovat nyt vaarassa. Hyökkääjillä on nyt todisteet törmäyshyökkäyksistä, jotka ovat mahdollisia, ja Googlen julkistamiskäytännön mukaan koodi, jonka avulla hyökkääjät voivat luoda nämä PDF-asiakirjat, on julkinen 90 päivän kuluttua. Kello tikittää.

Googlen Chrome-selain alkoi merkitä verkkosivustoja, jotka käyttävät edelleen SHA-1: llä allekirjoitettuja digitaalisia varmenteita, epäluotettaviksi vuoden 2017 alussa, ja Microsoftin ja Mozillan odotetaan noudattavan esimerkkiä Edgen ja Firefoxin kanssa. CA / Browser Forumin uusimpien ohjeiden mukaan pääelin, joka säätelee, kuinka varmentajat myöntävät TLS-varmenteita, selaimen toimittajilla ja varmentajilla on kielletty myöntämästä SHA-1-varmenteita.

Tutkimusryhmä loi verkkotyökalun, joka etsii SHA-1-törmäyksiä shattered.io-verkkosivuston asiakirjoissa. Google on jo integroinut suojaukset Gmailiin ja Google Driveen.

Vaikka huomattava määrä organisaatioita on ottanut varoitukset sydämeen ja siirtänyt verkkosivustonsa, monet käyttävät edelleen SHA-1: tä ohjelmistojen digitaaliseen allekirjoittamiseen sekä digitaalisten allekirjoitusten ja salausavainten tarkistamiseen verkkoon kuulumattomalle infrastruktuurille, kuten ohjelmistopäivitykset, varmuuskopiointijärjestelmät, ja muut sovellukset. Versiohallintatyökalut luottavat myös SHA-1: een - esimerkiksi Git "luottaa vahvasti" SHA-1: een.

"On pohjimmiltaan mahdollista luoda kaksi GIT-arkistoa, joilla on sama pää, joka tekee hajautusmerkin ja erilaisen sisällön, sanovat hyvänlaatuisen lähdekoodin ja takaoven", tutkijat kirjoittivat shattered.io -sivustolle. "Hyökkääjä voi mahdollisesti valikoivasti palvella kumpaakin arkistoa kohdistetuille käyttäjille."

Taivas ei putoa ... vielä

Kaikki tämä sanoi, että hyökkäys on edelleen vaikea, ja aseistettu haittaohjelma SHAtteredin avulla ei tule lyödä verkkoja yön yli. Tutkijoiden mukaan törmäyksen löytäminen oli vaikeaa ja näytti toisinaan "epäkäytännölliseltä". "Ratkaisimme sen lopulta kuvaamalla tätä ongelmaa itse matemaattisena ongelmana", tutkijat kirjoittivat.

Joukkue lopetti yli 9 kvintiljoonan (9,223,372,036,854,775,808) SHA-1-laskennan, mikä merkitsi noin 6500 vuotta yhden prosessorin laskelmia hyökkäyksen ensimmäisen vaiheen loppuunsaattamiseksi ja 110 vuotta yhden GPU-laskennan loppuun. toinen vaihe. Tekniikka on edelleen yli 100 000 kertaa nopeampi kuin raa'an voiman hyökkäys.

Ensimmäisessä vaiheessa käytetty heterogeeninen CPU-klusteri oli Googlen isännöimä ja levinnyt kahdeksaan fyysiseen sijaintiin. Google isännöi myös toisessa vaiheessa käytettyjä heterogeenisiä K20-, K40- ja K80-GPU-klustereita.

Vaikka nämä luvut näyttävät olevan hyvin suuria, kansallisvaltioilla ja monilla suurilla yrityksillä on salausanalyysiosaamista ja taloudellisia resursseja hankkiakseen tarpeeksi GPU: ta tekemään tämä kohtuullisessa ajassa, jos he todella haluavat.

Vuonna 2015 eräs tutkijaryhmä paljasti menetelmän, joka olisi laskenut onnistuneen SHA-1-törmäyksen luomisen kustannukset Amazonin EC2-pilvellä 75 000-120 000 dollariin. Google-tiimi arvioi, että hyökkäyksen toisen vaiheen suorittaminen Amazonin EC2-järjestelmässä maksaisi noin 560 000 dollaria, mutta jos hyökkääjä on kärsivällinen ja halukas noudattamaan hitaampaa lähestymistapaa, kustannukset laskevat 110 000 dollariin, hyvin vuonna 2015 arvioidun alueen sisällä.

Mitä seuraavaksi?

Teollisuus on vuodesta 2011 lähtien tiennyt, että tämä päivä oli tulossa, ja useimmat myyjät ovat sanoneet nopeuttavansa poistosuunnitelmiaan ja määräaikojaan, jos voimakkaammasta hyökkäyksestä tulee totta. NIST on suositellut kaikkien siirtymistä SHA-1: stä SHA-2: een, samoin kuin CA / Browser Forum. Odotat kuulevasi suurten toimittajien uudet aikataulut ja aikataulut seuraavien viikkojen aikana ja sisällyttävät muutokset vastaavasti infrastruktuuriin.

"Olemme tienneet, että SHA-1 on ollut kuolemanvalvonnassa jo vuosia", sanoo Rapid7: n tutkimusjohtaja Tod Beardsley. "Kun tekniikasta tulee yleistä Internetissä, on melkein mahdotonta leimata sitä, vaikka vallitsevat valtavat todisteet sen epävarmuudesta. En ole kuitenkaan vielä täysin valmis paniikkiin tästä löydöksestä. "

Mutta SHA-2: lla on samat matemaattiset heikkoudet kuin SHA-1: llä, joten miksi et siirtyisi vahvempaan SHA-3-algoritmiin, jolla ei ole samoja asioita? Kuten Roger Grimes kertoi minulle, se ei ole käytännöllinen idea useista syistä, ja se johtaisi todennäköisesti laajamittaisiin vaikeuksiin ja operatiivisiin haasteisiin. Vaikka NIST on suositellut siirtymistä SHA-3: een elokuussa 2015, käytännössä mikään käyttöjärjestelmä tai ohjelmisto ei tue sitä oletusarvoisesti. SHA-2: ta ei myöskään pidetä toiminnallisesti yhtä heikkona kuin SHA-1, koska sen hash-pituudet ovat pitempiä, joten se on tarpeeksi hyvä käyttää toistaiseksi. SHA-2-hash-pituudet vaihtelevat 192 bitistä 512 bittiin, vaikka yleisin on 256 bittiä. Suurin osa toimittajista alkaa lisätä SHA-3-tukea ajan myötä, joten on parasta käyttää siirtymistä SHA-2: een mahdollisuutena oppia, mitä tehdä väistämättömässä SHA-2-SHA-3-siirtymässä.

Varoitukset olivat siellä koko ajan, ja nyt varoitusten aika on ohi. IT-tiimien on saatettava SHA-1: stä SHA-2: een siirtyminen loppuun, ja heidän on käytettävä uutisia siitä, että onnistunut törmäyshyökkäys on nyt ulottuvilla, vasarana, jolla bludgeon-hallinto saa priorisoida projektin.