The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Google продемонстрировал первую успешную атаку на алгоритм хеширования SHA-1

23.02.2017 20:41

Более чем через двадцать лет после начала использования алгоритма хэширования SHA-1 компания Google объявила о первом практическом методе генерации коллизии для SHA-1. Результаты были получены после двух лет исследований, проведённых корпорацией совместно с институтом CWI в Амстердаме. В качестве доказательства возможности совершения атаки, компания Google предоставила два PDF-файла, которые имеют одинаковые хеши SHA-1, но разное содержание.

Количество вычислений, необходимых для проведения разработанной в Google атаки, которая получила название SHAttered, ошеломляет: девять квинтильонов (9,223,372,036,854,775,808) операций подсчёта SHA-1 в общей сложности, которые потребовали бы 6500 лет вычислений на одном CPU или 110 лет вычислений на одном GPU. При этом на системе со 110 GPU усовершенствованная атака занимает примерно год. Для сравнения, применение метода полного перебора (brute force) в 100 тысяч раз медленнее и для нахождения коллизии за год потребуется 12 миллионов GPU. Для проведения атак не требуется каждый раз производить вычисления, например, для атаки на PDF можно использовать уже вычисленный типовой набор данных для вызова коллизии.

Google считает, что необходимо переходить на новые алгоритмы хеширования, такие как SHA-256 и SHA-3. Однако стоит отметить, что в настоящее время нет способов найти коллизии для хэшей MD5 и SHA-1 одновременно, что означает, что чтобы быть в безопасности все еще можно использовать старые доказанные хэш-функции, которые к тому же ускоряются аппаратно.

В рамках соглашения о раннем неразглашении уязвимостей, компания Google на 90 дней задержит публикацию практической реализации метода подбора коллизий (теоретическое описание уже доступно). После публикации кода для проведения атаки, им сможет воспользоваться любой желающий для создания одинаковых хэшей SHA-1 для разных PDF-файлов. Тем не менее для реализации защиты в настоящее время уже опубликован код библиотеки и утилиты, позволяющих выдавать предупреждения для файлов, вызывающих коллизии в SHA-1.

Дополнение 1: По мнению Линуса Торвальдса, реальную степень угрозы для Git, в котором хэш SHA-1 используется для контроля целостности цепочки коммитов, можно будет оценить только после изучения кода для проведения атаки. Предварительно, Линус считает атаку на Git маловероятной, так как хэширование охватывает не только данные, но и заголовок, в котором указывается тип и размер. Таким образом атака существенно усложняется, так как потребуется не просто подобрать текст, вызывающий коллизию, но в этом тексте должен быть корректный заголовок, в котором указан правильный размер. В случае PDF атака упрощается, так как заголовок фиксирован и в файл можно вставить большие куски произвольных данных, которые не будут отображаться.

Дополнение 2: Компания Mozilla объявила о расширении действия выборочного прекращения поддержки SHA-1 на всех пользователей Firefox 51. В Firefox 52 SHA-1 будет отключен по умолчанию. В Chrome поддержка SHA-1 уже прекращена ранее в январском выпуске (Chrome 56).

Дополнение 3: Энтузиасты не дожидаясь открытия кода эксплоита создали собственную реализацию метода, позволяющую создать разные PDF, выдающие один хэш SHA-1. В случае предложенной атаки на PDF, для создания двух PDF-файлов с одинаковыми хэшами SHA-1 больших вычислительных ресурсов не требуется, так как используется уже готовый набор данных для вызова коллизии.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Google предупредил о скором прекращении поддержки SHA-1 в Chrome
  3. OpenNews: В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1
  4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  5. OpenNews: Возможность встраивания бэкдора в нестандартные реализации SHA-1
  6. OpenNews: Выявлен дубликат короткого идентификатора PGP-ключа Линуса Торвальдса
Автор новости: Artem S. Tashkinov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46091-security
Ключевые слова: security, hash, collision, sha
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Baz (?), 22:08, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    теперь есть ещё одно занятие для бот-нетов
     
     
  • 2.5, Аноним (-), 23:09, 23/02/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Шутки шутками, а сейчас туча SSL сертификатов, ключая некоторые CA, которые подписаны только SHA-1. И туча устройств, которые не знают ничего, кроме MD5 и SHA-1.

    И почти с полной уверенностью можно сказать, что в NSA уже ферма из ASIC, которая ищет коллизии для успешной атаки и работает раз так в 100 быстрее, чем получилось у Google.

    // b.

     
     
  • 3.8, Аноним (-), 23:40, 23/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >туча SSL сертификатов

    И что? Во всем виноват веб и его костыли. Прикрутите что-нибудь на JS. <Сарказм>

     
  • 3.9, abi (?), 23:53, 23/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    CA на SSH1 не влияет на безопасность.
     
  • 3.15, Anonplus (?), 05:07, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Основные браузеры уже приравнивают SHA1-сертификаты к отсутствию шифрования.
     
     
  • 4.21, qwerty123 (??), 10:12, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Основные браузеры уже приравнивают SHA1-сертификаты к отсутствию шифрования.

    Корневые сертификаты:

    # ls -1 | wc -l
         348

    # for n in *;do openssl x509 -in $f -noout -text;done | grep 'Signature Algorithm: sha1' | wc -l
         198

    Так что там про основные браузеры нынче в школе?


     
     
  • 5.41, Stax (ok), 16:52, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Основные браузеры уже приравнивают SHA1-сертификаты к отсутствию шифрования.
    > Корневые сертификаты:
    > # ls -1 | wc -l
    >      348
    > # for n in *;do openssl x509 -in $f -noout -text;done |
    > grep 'Signature Algorithm: sha1' | wc -l
    >      198
    > Так что там про основные браузеры нынче в школе?

    Даты, даты смотрите. SHA1, вычисленный до обнаружения эффективной возможности коллизии - вполне себе безопасен. Проблема с SHA1-подписями, которые появились после появления этого механизма. Их и приравнивают к возможности MITM (что совершенно справедливо).

     
  • 3.16, zanswer CCNA RS (?), 06:37, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Цифровая подпись не состоит только из SHA-1 fingerprint, ещё есть закрытый ключ, которым шифруется полученный SHA-1 fingerprint, созданный путём хеширования открытых полей X.509 сертификата. И если даже злоумышленнику удаться подделать SHA-1 fingerprint, то без закрытого ключа, это не принесёт должного результата.
     
     
  • 4.17, NYMA (?), 09:37, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты действительно считаешь, что точно такой-же отпечаток нужно будет заново подписывать?
     
     
  • 5.22, qwerty123 (??), 10:39, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ты действительно считаешь, что точно такой-же отпечаток нужно будет заново подписывать?

    А причем здесь отпечаток? Для X.509 проверка сертификата, выданного CA, как и любого подписанного документа,  состоит в дешифровке подписи открытым ключем CA.
    И далее сравнения а) самостоятельно вычисленной хеш-суммы и б) полученной из сертификата/документа.
    # openssl x509 -in some.crt -text | grep Sign
        Signature Algorithm: sha1WithRSAEncryption  <-- RSA encription
    Так что таки да, надо еще частный ключ CA иметь. Но тогда смысл в маневрах?

    RTFM.

    Для не-X509 систем и без этого хватает рисков.
    И вообще, для всего иных рисков так дохрена, что ...
    И вкладывать год вычислений продвинутого дата центра там где можно обойтись 20 тыс подкупа и 1 день как-то несеръезно.

    Google пиарится.

     
     
  • 6.40, Stax (ok), 16:47, 27/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И вкладывать год вычислений продвинутого дата центра там где можно обойтись 20 тыс подкупа и 1 день как-то несеръезно.

    Вы опять забыли, что машино-год прекрасно параллелится. И это не год вычислений продвинутого датацентра, а, например, день (при использовании 40 тысяч GPU).

    И это может позволить себе не только гугл. Это может позволить себе ЛЮБОЙ. За 70 центов в час можно арендовать те самые машины с GPU из датацентра гугла для своих вычислений. Когда защита превратилась всего лишь в вопрос денег - тут-то ей и конец.

     
  • 3.20, qwerty123 (??), 10:01, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шутки шутками, а сейчас туча SSL сертификатов, ключая некоторые CA, которые подписаны
    > только SHA-1. И туча устройств, которые не знают ничего, кроме MD5
    > и SHA-1.
    > И почти с полной уверенностью можно сказать, что в NSA уже ферма
    > из ASIC, которая ищет коллизии для успешной атаки и работает раз
    > так в 100 быстрее, чем получилось у Google.

    Точно, все силы Оси Зла брошены на подбор хешей Человечества.
    Планета в Опасности!

     
  • 3.24, Алекс (??), 11:37, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хрен с ними с NSA, - вот, то что этим наверняка заниматься наша фСБ-ная гэбня реально пугает, ибо NSA не постучит завтра в дверь, а последние могут и еще как.
     
     
  • 4.31, qwerty123 (??), 14:18, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Хрен с ними с NSA, - вот, то что этим наверняка заниматься наша фСБ-ная гэбня реально пугает, ибо NSA не постучит завтра в дверь, а последние могут и еще как.

    А шо, им для вломиться нужен повод от Гугле?

     
  • 3.38, Джо (?), 11:18, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы подменить какой-либо сертификат нужно выполнить pre-image attack, а это еще невозможно, даже для MD5. Опасность использовать сертификаты sha1 сейчас как я понимаю в том, что какой нибудь CA сделает два сертификата с одинаковым sha1 (один вам, другой - анб).
     
  • 3.42, 8вшвоу (?), 16:58, 28/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ещё у некоторых популярнейших сайтов вообще шифрования нет принципиально. Напр. у ксакепа, рутрекера и хабра не было. ИМХО это было сделано специально.  А потом раз - и появилось. Видимо спецслужбы разрешили.
     
     
  • 4.43, 8вшвоу (?), 17:00, 28/02/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но у ещё большего числа сайтов шифрования до сих пор нет и не будет, ибо "не нужно", "грузит сервер" и "если у вас есть секреты от спцслужб, если вы не готовы терпеть mitm, не ходите на наш сайт, вам здесь не рады".
     

  • 1.2, Аноним (-), 22:23, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    все было сделано благодаря пользователям смартфонов на андроиде с распеределенным шифрованием
     
     
  • 2.3, Вареник (?), 22:45, 23/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да без раницы каких смартфонов :) Все пишут и шарят, не обольщайтесь.
     
  • 2.4, Пиони (?), 22:46, 23/02/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Я то думал, почему он так тормозит постоянно
     
     
  • 3.7, Пельмешка (?), 23:38, 23/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И аккумулятор быстро садится.
     
     
  • 4.10, Анонимс (?), 00:14, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    обычно начинает быстро садится, если накануне случайный мужик просил позвонить бабе, через недельку будет норм.
     

  • 1.6, trolleybus (?), 23:36, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > и 110 лет вычислений на GPU для завершения второго этапа. При этом на системе со 110 GPU усовершенствованная атака занимает примерно год

    Раньше сложность работ в человеко-годах мерили, теперь в процессоро-годах пора :)

     
     
  • 2.11, труляляй (?), 01:04, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Посади китайцев со счетами, пересчитаешь в человеко-годах.
     
     
  • 3.32, Аноним (-), 15:20, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно, китайцев уже учат и так быстро считать в уме.
     
  • 3.44, Аноним (-), 10:03, 01/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага, миллиард невидимых виртуальных китайцев смогут много чего насчитать... только рассчеты эти не выйдут за пределы черепной коробки фантазера
     
  • 2.14, incker (?), 04:41, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Человеко-года и процессоро-года - это разные вещи. Как было раньше, так сейчас и осталось. Все дешифрования только в процессоро-времени. Все рукописное в человеко-времени
     

  • 1.12, Аноним (-), 01:21, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    MD5 можно подобрать за 30 секунд на смартфоне? А можно пример?
     
     
  • 2.19, Аноним (-), 10:01, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Смартфон с 8 ядрами arm x64. Реально, ага. Только батарея сядет на 10 секунде.
     
  • 2.27, Iaaa (ok), 12:25, 24/02/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Можно: берешь смартфон, отсылаешь хеш в облако гуглу, через 30 секунд получаешь назад ответ с набором коллизий.
     

  • 1.26, AlcoBuntu (?), 12:01, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Значит так... Собираешь всех своих ботов, прекращаешь спамить, и начинаешь ломать SHA-256. А там глядишь, и получишь Сатоши Накамотин приватный ключ. Будет хорошая прибавка к пенсии...
     
  • 1.28, Аноним (-), 13:45, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    теперь троянчики в линуксе появятся исходниках ??
     
     
  • 2.45, J.L. (?), 19:21, 06/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > теперь троянчики в линуксе появятся исходниках ??

    они всегда в исходниках и были, как ты их скомпилишь и запустишь без исходника то ?

     

  • 1.30, ananim (?), 13:54, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а с дедупликацией как там будет?
     
  • 1.35, Аноним (-), 20:23, 24/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вдумайтесь, 2 года они держали отдел высокоуроневых спецов на зарплате (я уверен это 10К+ баксов в месяц каждому), чтобы добиться этой маленькой победы. Если считать что гуголь не выкидывает деньги просто так, то что на самом деле может стоить овер миллион зелени и 2 года ожидания?
     
     
  • 2.39, Аноним (-), 15:21, 25/02/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Бред, man "Google Reader". Ах да, не забудь на ночь помолиться б-гам (они сидят в гугле, если ты забыл).
     

  • 1.37, Аноним (-), 06:25, 25/02/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У меня сложилось стойкое впечатление, что пора менять саму суть механизма защиты.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру