Programmering

Google dræber SHA-1 med vellykket kollisionsangreb

Det er officielt: SHA-1 kryptografisk algoritme er blevet "SHAttered." Google brød SHA-1 med succes. Hvad nu?

Efter mange års advarsel om, at fremskridt inden for moderne computing betød, at et vellykket kollisionsangreb mod SHA-1 var nært forestående, har et team af forskere fra Google og Centrum Wiskunde & Informatica (CWI) i Holland med succes udviklet den første succesrige SHA-1-kollision. Rent praktisk skal man ikke stole på SHA-1 af hensyn til praktisk sikkerhed.

Moderne kryptografiske hashfunktioner afhænger af, at algoritmen genererer en anden kryptografisk hash for hver fil. En hash-kollision refererer til at have to separate filer med samme hash. Det faktum, at kryptografiske svagheder i SHA-1 gør certifikater ved hjælp af SHA-1-algoritmen, der potentielt er sårbare over for kollisionsangreb, er velkendt. National Institute of Standards and Technology udfasede SHA-1 for mere end fem år siden, og eksperter har længe opfordret organisationer til at skifte til stærkere hashalgoritmer. Indtil nu var det eneste, der gik for SHA-1, det faktum, at kollisionsangreb stadig var dyre og teoretiske.

Ikke længere, da det Google-ledede forskningsteam har udviklet en metode, der lader dem generere to PDF-filer med forskelligt indhold, men generere den samme SHA-1-hash. Mens kollisionsangrebet stadig er dyrt, er "SHA-1 knust" angrebet ikke længere teoretisk, hvilket betyder, at angrebet er inden for rækkevidde for enhver, der er motiveret nok og med dybe nok lommer.

"Vi startede med at oprette et PDF-præfiks, der er specielt udformet til at tillade os at generere to dokumenter med vilkårligt særskilt visuelt indhold, men det ville have til den samme SHA-1-fordøjelse," skrev teamet fra Google og CWI i et blogindlæg. "Vi var i stand til at finde denne kollision ved at kombinere mange specielle kryptoanalytiske teknikker på komplekse måder og forbedre det tidligere arbejde."

Det er dog værd at bemærke, at smedning af digitale certifikater forbliver vanskeligt takket være de nye CA / Browser Forum-regler, der kræver 20 bit tilfældighed tilføjet til digitale certifikats serienumre.

SHA-1 er død; handle i overensstemmelse hermed

I november fandt Venafi-forskning, at 35 procent af organisationer stadig brugte SHA-1-certifikater. "Disse virksomheder kan lige så godt oprette et velkomstskilt til hackere, der siger: 'Vi er ligeglade med sikkerheden i vores applikationer, data og kunder'," sagde Kevin Bocek, chefsikkerhedsstrateg i Venafi. "Angreb mod SHA -1 er ikke længere science fiction. "

Selvom mange organisationer har arbejdet med at migrere til SHA-2 i det sidste år, er overgangen ikke 100 procent komplet, hvilket betyder, at organisationer, der endnu ikke er færdige (eller startet!), Er i fare. Angribere har nu bevis for, at kollisionsangreb er mulige, og i henhold til Googles offentliggørelsespolitik vil den kode, der gør det muligt for angribere at oprette disse PDF-dokumenter, være offentlig om 90 dage. Uret tikker.

Googles Chrome-webbrowser begyndte at markere websteder, der stadig bruger digitale certifikater underskrevet med SHA-1 som ikke tillid til i begyndelsen af ​​2017, og Microsoft og Mozilla forventes at følge trop med Edge og Firefox. I henhold til de nyeste retningslinjer fra CA / Browser Forum er det hovedorgan, der regulerer, hvordan certifikatmyndigheder udsteder TLS-certifikater, browserudbydere og CA'er, der må udstede SHA-1-certifikater.

Forskergruppen oprettede et online værktøj, der scanner efter SHA-1-kollisioner i dokumenter på shattered.io-webstedet. Google har allerede integreret beskyttelse i Gmail og Google Drive.

Mens et betydeligt antal organisationer har taget advarslerne til sig og migreret deres hjemmesider, bruger mange stadig SHA-1 til digitalt signeringssoftware og til at verificere digitale signaturer og kryptografiske nøgler til ikke-webinfrastruktur såsom softwareopdateringer, backup-systemer og andre applikationer. Versionskontrolværktøjer er også afhængige af SHA-1 - Git for eksempel "er stærkt afhængig" af SHA-1.

"Det er i det væsentlige muligt at oprette to GIT-arkiver med det samme head-commit-hash og forskellige indhold, f.eks. En godartet kildekode og en bagdør", skrev forskerne på shattered.io-webstedet. "En hacker kunne potentielt selektivt betjene begge arkiver til målrettede brugere."

Himlen falder ikke ... endnu

Alt det sagt er angrebet stadig vanskeligt, og våbenbeskyttet malware ved hjælp af SHAttered kommer ikke til at ramme netværk natten over. Forskerne sagde, at det var svært at finde sammenstødet og til tider så "upraktisk" ud. ”Vi løste det endelig ved at beskrive dette problem som et matematisk problem,” skrev forskerne.

Holdet afviklede SHA-1-beregninger i alt, hvilket oversatte til cirka 6.500 år med single-CPU-beregninger for at fuldføre den første fase af angrebet og 110 år med single-GPU-beregninger for at fuldføre anden fase. Teknikken er stadig mere end 100.000 gange hurtigere end et brutalt kraftangreb.

Den heterogene CPU-klynge, der blev brugt i den første fase, blev hostet af Google og spredt over otte fysiske placeringer. Den heterogene klynge af K20-, K40- og K80-GPU'er, der blev brugt i anden fase, blev også hostet af Google.

Mens disse tal virker meget store, har nationalstater og mange store virksomheder kryptoanalyseekspertisen og de økonomiske ressourcer til at få nok GPU'er til at gøre dette på en rimelig tid, hvis de virkelig ville.

Tilbage i 2015 afslørede en anden gruppe forskere en metode, der ville have lagt omkostningerne ved at skabe en vellykket SHA-1-kollision ved hjælp af Amazons EC2-sky mellem $ 75.000 og $ 120.000. Google-teamet anslog, at kørsel af anden fase af angrebet i Amazons EC2 ville koste omkring $ 560.000, men hvis angriberen er tålmodig og villig til at tage den langsommere tilgang, falder denne pris til $ 110.000, godt inden for det område, der estimeres tilbage i 2015.

Hvad er det næste?

Branchen har vidst siden 2011, at denne dag ville komme, og de fleste leverandører har sagt, at de vil fremskynde deres afskrivningsplaner og deadlines, hvis et stærkere angreb bliver til virkelighed. NIST har anbefalet alle at flytte fra SHA-1 til SHA-2, ligesom CA / Browser Forum. Forvent at høre nye tidslinjer og tidsplaner fra større leverandører i løbet af de næste par uger og inkorporer ændringerne i overensstemmelse hermed i din infrastruktur.

”Vi har vidst, at SHA-1 har været på dødsvagt i årevis,” sagde Tod Beardsley, direktør for forskning hos Rapid7. ”Når en teknologi først bliver almindelig på internettet, er det næsten umuligt at udelukke den, selv i lyset af overvældende bevis for dens usikkerhed. Jeg er dog ikke helt klar til at få panik over dette fund endnu. ”

Men SHA-2 er underlagt de samme matematiske svagheder som SHA-1, så hvorfor ikke gå til den stærkere SHA-3-algoritme, som ikke deler de samme problemer? Som Roger Grimes fortalte mig, er det ikke en praktisk idé af flere grunde, og det vil sandsynligvis føre til omfattende vanskeligheder og operationelle udfordringer. Selvom NIST har anbefalet at flytte til SHA-3 siden august 2015, understøtter praktisk talt intet operativsystem eller software det som standard. SHA-2 betragtes heller ikke som operationelt svag som SHA-1, fordi dens hashlængder er længere, så det er godt nok at bruge indtil videre. SHA-2 hashlængder varierer fra 192 bit til 512 bit, selvom 256 bit er den mest almindelige. De fleste leverandører begynder at tilføje mere SHA-3-support over tid, så det er bedst at bruge migrationen til SHA-2 som mulighed for at lære, hvad man skal gøre for den uundgåelige SHA-2-til-SHA-3-migration.

Advarslerne var der hele tiden, og nu er tiden for advarsler forbi. IT-teams har brug for at afslutte migrationen af ​​SHA-1 til SHA-2, og de bør bruge nyheden om, at et vellykket kollisionsangreb nu er inden for rækkevidde som hammeren til at udslette ledelsen til at prioritere projektet.