Je to oficiální: Kryptografický algoritmus SHA-1 byl „SHAttered“. Google úspěšně zlomil SHA-1. Co teď?
Po letech varování, že pokrok v moderní výpočetní technice znamená, že se bezprostředně blíží úspěšný kolizní útok na SHA-1, vyvinul tým vědců z Google a Centra Wiskunde & Informatica (CWI) v Nizozemsku první úspěšnou kolizi SHA-1. Z praktického hlediska by se na SHA-1 nemělo spoléhat kvůli praktické bezpečnosti.
Moderní kryptografické hashovací funkce závisí na skutečnosti, že algoritmus generuje pro každý soubor jiný kryptografický hash. Hash kolize označuje dva samostatné soubory se stejným hash. Skutečnost, že díky kryptografickým slabostem v SHA-1 jsou certifikáty využívající algoritmus SHA-1 potenciálně zranitelné vůči kolizním útokům, je dobře známa. Národní institut pro standardy a technologie zastaral SHA-1 před více než pěti lety a odborníci dlouhodobě vyzývají organizace, aby přešly na silnější hash algoritmy. Doposud byla pro SHA-1 jedinou věcí skutečnost, že kolizní útoky byly stále drahé a teoretické.
Už ne, protože výzkumný tým vedený společností Google vyvinul metodu, která jim umožní generovat dva soubory PDF s různým obsahem, ale generovat stejný hash SHA-1. I když je kolizní útok stále drahý, útok „SHA-1 shattered“ již není teoretický, což znamená, že útok je v dosahu kdokoli dostatečně motivovaného a s dostatečně hlubokými kapsami.
„Začali jsme vytvořením předpony PDF speciálně vytvořené tak, aby nám umožnilo generovat dva dokumenty s libovolným odlišným vizuálním obsahem, ale to by mělo hash na stejný souhrn SHA-1,“ napsal tým z Googlu a CWI v příspěvku na blogu. „Tuto kolizi se nám podařilo najít kombinací mnoha speciálních kryptoanalytických technik složitým způsobem a vylepšením předchozí práce.“
Stojí však za zmínku, že padělání digitálních certifikátů zůstane obtížné díky novým pravidlům CA / Browser Forum, které vyžadují, aby bylo k sériovým číslům digitálních certifikátů přidáno 20 bitů náhodnosti.
SHA-1 je mrtvý; jednat podle toho
V listopadu výzkum společnosti Venafi zjistil, že 35 procent organizací stále používá certifikáty SHA-1. „Tyto společnosti mohou hackerům také uvítat znamení, které říká:„ Nezajímá nás zabezpečení našich aplikací, dat a zákazníků, “řekl Kevin Bocek, hlavní bezpečnostní stratég ve Venafi.“ Útoky proti SHA -1 již nejsou sci-fi. “
I když mnoho organizací již minulý rok pracovalo na migraci na SHA-2, přechod není stoprocentně dokončen, což znamená, že organizace, které přechod ještě nedokončily (nebo nezačaly!), Jsou nyní ohroženy. Útočníci nyní mají možné kolizní útoky a podle zásad zveřejňování informací společnosti Google bude kód, který by útočníkům umožnil vytvářet tyto dokumenty PDF, zveřejněn za 90 dní. Hodiny tikají.
Na začátku roku 2017 začal webový prohlížeč Google Chrome označovat weby, které stále používají digitální certifikáty podepsané pomocí SHA-1, jako nedůvěryhodné, a očekává se, že Microsoft a Mozilla budou následovat i Edge a Firefox. Podle nejnovějších pokynů z fóra CA / Browser Forum je hlavnímu orgánu regulujícímu, jak certifikační autority vydávají certifikáty TLS, prodejcům prohlížečů a CA zakázáno vydávat certifikáty SHA-1.
Výzkumný tým vytvořil online nástroj, který skenuje kolize SHA-1 v dokumentech na webu shattered.io. Google již integroval ochranu do Gmailu a Disku Google.
Zatímco značný počet organizací si vzal varování k srdci a migroval své webové stránky, mnoho z nich stále používá SHA-1 pro digitální podepisování softwaru a pro ověřování digitálních podpisů a kryptografických klíčů pro infrastrukturu, která není orientována na web, jako jsou aktualizace softwaru, zálohovací systémy, a další aplikace. Nástroje pro správu verzí také spoléhají na SHA-1 - například Git „silně spoléhá“ na SHA-1.
„Je v zásadě možné vytvořit dva repozitáře GIT se stejným hashem head commit a odlišným obsahem, řekněme neškodný zdrojový kód a backdoorový,“ napsali vědci na webu shattered.io. „Útočník by mohl potenciálně selektivně obsluhovat kterékoli úložiště cíleným uživatelům.“
Obloha nespadá ... zatím
Všechno, co bylo řečeno, útok je stále obtížný a vyzbrojený malware pomocí SHAttered nebude přes noc zasáhnout sítě. Vědci uvedli, že zjištění kolize bylo obtížné a občas vypadalo „neprakticky“. „Nakonec jsme to vyřešili popisem tohoto problému jako samotného matematického problému,“ napsali vědci.
Tým skončil provedením více než 9 kvintilionů (celkem 9 223 372 036 854 775 808) SHA-1, což se promítlo do přibližně 6500 let výpočtů s jedním CPU k dokončení první fáze útoku a 110 let výpočtů s jedním GPU k dokončení druhá fáze. Tato technika je stále více než 100 000krát rychlejší než útok hrubou silou.
Heterogenní CPU klastr použitý v první fázi hostil Google a rozšířil se na osm fyzických míst. Heterogenní shluk GPU K20, K40 a K80 použitých ve druhé fázi hostil také Google.
I když se tato čísla zdají být velmi velká, národní státy a mnoho velkých společností mají zkušenosti s kryptoanalýzou a finanční zdroje, aby získaly dostatek GPU, aby to dokázaly v rozumném čase, pokud to skutečně chtěly.
V roce 2015 jiná skupina vědců zveřejnila metodu, která by vedla k nákladům na vytvoření úspěšné srážky SHA-1 pomocí cloudu EC2 společnosti Amazon mezi 75 000 až 120 000 USD. Tým Google odhadl, že spuštění druhé fáze útoku na EC2 společnosti Amazon by stálo zhruba 560 000 $, ale pokud je útočník trpělivý a ochotný zvolit pomalejší přístup, náklady klesnou na 110 000 $, což je v rozmezí odhadovaném v roce 2015.
Co bude dál?
Odvětví od roku 2011 ví, že tento den se blíží, a většina prodejců uvedla, že urychlí své plány a lhůty pro ukončení podpory, pokud se silnější útok stane realitou. NIST doporučuje každému, aby přešlo z SHA-1 na SHA-2, stejně jako fórum CA / Browser Forum. Očekávejte, že v příštích několika týdnech uslyšíte nové časové osy a plány od hlavních dodavatelů a provedete změny odpovídajícím způsobem do své infrastruktury.
"Víme, že SHA-1 je už několik let na stráži smrti," řekl Tod Beardsley, ředitel výzkumu společnosti Rapid7. "Jakmile se technologie stane běžnou na internetu, je téměř nemožné ji potlačit, a to i přes ohromující důkazy o její nejistotě." Ještě však nejsem úplně připraven na paniku z tohoto zjištění. “
Ale SHA-2 podléhá stejným matematickým slabinám jako SHA-1, tak proč nepřejít na silnější algoritmus SHA-3, který nesdílí stejné problémy? Jak mi řekl Roger Grimes, není to praktický nápad z několika důvodů a pravděpodobně by to vedlo k rozsáhlým obtížím a provozním výzvám. Ačkoli NIST doporučuje přechod na SHA-3 od srpna 2015, ve výchozím nastavení jej prakticky nepodporuje žádný operační systém ani software. SHA-2 se také nepovažuje za tak operačně slabý jako SHA-1, protože jeho hash délky jsou delší, takže je zatím dost dobré pro použití. SHA-2 hash délky se pohybují od 192 bitů do 512 bitů, ačkoli 256 bitů je nejběžnější. Většina prodejců začne postupně přidávat další podporu SHA-3, takže je nejlepší využít migraci na SHA-2 jako příležitost zjistit, co dělat pro nevyhnutelnou migraci SHA-2-na-SHA-3.
Varování tam byla po celou dobu a nyní čas varování skončil. IT týmy potřebují dokončit migraci SHA-1 na SHA-2 a měly by využít zprávy, že úspěšný kolizní útok je nyní na dosah, jako kladivo k vedení rudy do upřednostnění projektu.
