The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

23.02.2017 20:41  Google продемонстрировал первую успешную атаку на алгоритм хеширования SHA-1

Более чем через двадцать лет после начала использования алгоритма хэширования SHA-1 компания Google объявила о первом практическом методе генерации коллизии для SHA-1. Результаты были получены после двух лет исследований, проведённых корпорацией совместно с институтом CWI в Амстердаме. В качестве доказательства возможности совершения атаки, компания Google предоставила два PDF-файла, которые имеют одинаковые хеши SHA-1, но разное содержание.

Количество вычислений, необходимых для проведения разработанной в Google атаки, которая получила название SHAttered, ошеломляет: девять квинтильонов (9,223,372,036,854,775,808) операций подсчёта SHA-1 в общей сложности, которые потребовали бы 6500 лет вычислений на одном CPU или 110 лет вычислений на одном GPU. При этом на системе со 110 GPU усовершенствованная атака занимает примерно год. Для сравнения, применение метода полного перебора (brute force) в 100 тысяч раз медленнее и для нахождения коллизии за год потребуется 12 миллионов GPU. Для проведения атак не требуется каждый раз производить вычисления, например, для атаки на PDF можно использовать уже вычисленный типовой набор данных для вызова коллизии.

Google считает, что необходимо переходить на новые алгоритмы хеширования, такие как SHA-256 и SHA-3. Однако стоит отметить, что в настоящее время нет способов найти коллизии для хэшей MD5 и SHA-1 одновременно, что означает, что чтобы быть в безопасности все еще можно использовать старые доказанные хэш-функции, которые к тому же ускоряются аппаратно.

В рамках соглашения о раннем неразглашении уязвимостей, компания Google на 90 дней задержит публикацию практической реализации метода подбора коллизий (теоретическое описание уже доступно). После публикации кода для проведения атаки, им сможет воспользоваться любой желающий для создания одинаковых хэшей SHA-1 для разных PDF-файлов. Тем не менее для реализации защиты в настоящее время уже опубликован код библиотеки и утилиты, позволяющих выдавать предупреждения для файлов, вызывающих коллизии в SHA-1.

Дополнение 1: По мнению Линуса Торвальдса, реальную степень угрозы для Git, в котором хэш SHA-1 используется для контроля целостности цепочки коммитов, можно будет оценить только после изучения кода для проведения атаки. Предварительно, Линус считает атаку на Git маловероятной, так как хэширование охватывает не только данные, но и заголовок, в котором указывается тип и размер. Таким образом атака существенно усложняется, так как потребуется не просто подобрать текст, вызывающий коллизию, но в этом тексте должен быть корректный заголовок, в котором указан правильный размер. В случае PDF атака упрощается, так как заголовок фиксирован и в файл можно вставить большие куски произвольных данных, которые не будут отображаться.

Дополнение 2: Компания Mozilla объявила о расширении действия выборочного прекращения поддержки SHA-1 на всех пользователей Firefox 51. В Firefox 52 SHA-1 будет отключен по умолчанию. В Chrome поддержка SHA-1 уже прекращена ранее в январском выпуске (Chrome 56).

Дополнение 3: Энтузиасты не дожидаясь открытия кода эксплоита создали собственную реализацию метода, позволяющую создать разные PDF, выдающие один хэш SHA-1. В случае предложенной атаки на PDF, для создания двух PDF-файлов с одинаковыми хэшами SHA-1 больших вычислительных ресурсов не требуется, так как используется уже готовый набор данных для вызова коллизии.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Google предупредил о скором прекращении поддержки SHA-1 в Chrome
  3. OpenNews: В Firefox 51 будет ограничена поддержка сертификатов на основе SHA-1
  4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  5. OpenNews: Возможность встраивания бэкдора в нестандартные реализации SHA-1
  6. OpenNews: Выявлен дубликат короткого идентификатора PGP-ключа Линуса Торвальдса
Автор новости: Artem S. Tashkinov
Тип: Интересно / К сведению
Ключевые слова: security, hash, collision, sha
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Baz, 22:08, 23/02/2017 [ответить] [смотреть все]
  • +4 +/
    теперь есть ещё одно занятие для бот-нетов
     
     
  • 2.5, Аноним, 23:09, 23/02/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Шутки шутками, а сейчас туча SSL сертификатов, ключая некоторые CA, которые подп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Аноним, 23:40, 23/02/2017 [^] [ответить] [смотреть все]  
  • +/
    И что Во всем виноват веб и его костыли Прикрутите что-нибудь на JS Сарказм ... весь текст скрыт [показать]
     
  • 3.9, abi, 23:53, 23/02/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    CA на SSH1 не влияет на безопасность.
     
  • 3.15, Anonplus, 05:07, 24/02/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Основные браузеры уже приравнивают SHA1-сертификаты к отсутствию шифрования.
     
     
  • 4.21, qwerty123, 10:12, 24/02/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Корневые сертификаты ls -1 124 wc -l 348 for n in do openssl x509... весь текст скрыт [показать]
     
     
  • 5.41, Stax, 16:52, 27/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Даты, даты смотрите SHA1, вычисленный до обнаружения эффективной возможности ко... весь текст скрыт [показать]
     
  • 3.16, zanswer CCNA RS, 06:37, 24/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Цифровая подпись не состоит только из SHA-1 fingerprint, ещё есть закрытый ключ,... весь текст скрыт [показать]
     
     
  • 4.17, NYMA, 09:37, 24/02/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ты действительно считаешь, что точно такой-же отпечаток нужно будет заново подпи... весь текст скрыт [показать]
     
     
  • 5.22, qwerty123, 10:39, 24/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А причем здесь отпечаток Для X 509 проверка сертификата, выданного CA, как и лю... весь текст скрыт [показать]
     
     
  • 6.40, Stax, 16:47, 27/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Вы опять забыли, что машино-год прекрасно параллелится И это не год вычислений ... весь текст скрыт [показать]
     
  • 3.20, qwerty123, 10:01, 24/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Точно, все силы Оси Зла брошены на подбор хешей Человечества Планета в Опасност... весь текст скрыт [показать]
     
  • 3.24, Алекс, 11:37, 24/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Хрен с ними с NSA, - вот, то что этим наверняка заниматься наша фСБ-ная гэбня ре... весь текст скрыт [показать]
     
     
  • 4.31, qwerty123, 14:18, 24/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А шо, им для вломиться нужен повод от Гугле ... весь текст скрыт [показать]
     
  • 3.38, Джо, 11:18, 25/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Чтобы подменить какой-либо сертификат нужно выполнить pre-image attack, а это ещ... весь текст скрыт [показать]
     
  • 3.42, 8вшвоу, 16:58, 28/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А ещё у некоторых популярнейших сайтов вообще шифрования нет принципиально Напр... весь текст скрыт [показать]
     
     
  • 4.43, 8вшвоу, 17:00, 28/02/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Но у ещё большего числа сайтов шифрования до сих пор нет и не будет, ибо не нуж... весь текст скрыт [показать]
     
  • 1.2, Аноним, 22:23, 23/02/2017 [ответить] [смотреть все]  
  • +8 +/
    все было сделано благодаря пользователям смартфонов на андроиде с распеределенным шифрованием
     
     
  • 2.3, Вареник, 22:45, 23/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да без раницы каких смартфонов :) Все пишут и шарят, не обольщайтесь.
     
  • 2.4, Пиони, 22:46, 23/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Я то думал, почему он так тормозит постоянно
     
     
  • 3.7, Пельмешка, 23:38, 23/02/2017 [^] [ответить] [смотреть все]  
  • +/
    И аккумулятор быстро садится.
     
     
  • 4.10, Анонимс, 00:14, 24/02/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    обычно начинает быстро садится, если накануне случайный мужик просил позвонить б... весь текст скрыт [показать]
     
  • 1.6, trolleybus, 23:36, 23/02/2017 [ответить] [смотреть все]  
  • +/
    > и 110 лет вычислений на GPU для завершения второго этапа. При этом на системе со 110 GPU усовершенствованная атака занимает примерно год

    Раньше сложность работ в человеко-годах мерили, теперь в процессоро-годах пора :)

     
     
  • 2.11, труляляй, 01:04, 24/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Посади китайцев со счетами, пересчитаешь в человеко-годах.
     
     
  • 3.32, Аноним, 15:20, 24/02/2017 [^] [ответить] [смотреть все]  
  • +/
    Собственно, китайцев уже учат и так быстро считать в уме.
     
  • 3.44, Аноним, 10:03, 01/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ага, миллиард невидимых виртуальных китайцев смогут много чего насчитать толь... весь текст скрыт [показать]
     
  • 2.14, incker, 04:41, 24/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Человеко-года и процессоро-года - это разные вещи Как было раньше, так сейчас и... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 01:21, 24/02/2017 [ответить] [смотреть все]  
  • +/
    MD5 можно подобрать за 30 секунд на смартфоне? А можно пример?
     
     
  • 2.19, Аноним, 10:01, 24/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Смартфон с 8 ядрами arm x64. Реально, ага. Только батарея сядет на 10 секунде.
     
  • 2.27, Iaaa, 12:25, 24/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно берешь смартфон, отсылаешь хеш в облако гуглу, через 30 секунд получаешь ... весь текст скрыт [показать] [показать ветку]
     
  • 1.26, AlcoBuntu, 12:01, 24/02/2017 [ответить] [смотреть все]  
  • +1 +/
    Значит так... Собираешь всех своих ботов, прекращаешь спамить, и начинаешь ломать SHA-256. А там глядишь, и получишь Сатоши Накамотин приватный ключ. Будет хорошая прибавка к пенсии...
     
  • 1.28, Аноним, 13:45, 24/02/2017 [ответить] [смотреть все]  
  • –1 +/
    теперь троянчики в линуксе появятся исходниках ??
     
     
  • 2.45, J.L., 19:21, 06/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    они всегда в исходниках и были, как ты их скомпилишь и запустишь без исходника т... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, ananim, 13:54, 24/02/2017 [ответить] [смотреть все]  
  • –1 +/
    а с дедупликацией как там будет?
     
  • 1.35, Аноним, 20:23, 24/02/2017 [ответить] [смотреть все]  
  • +/
    вдумайтесь, 2 года они держали отдел высокоуроневых спецов на зарплате я уверен... весь текст скрыт [показать]
     
     
  • 2.39, Аноним, 15:21, 25/02/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Бред, man Google Reader Ах да, не забудь на ночь помолиться б-гам они сидят ... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, Аноним, 06:25, 25/02/2017 [ответить] [смотреть все]  
  • –1 +/
    У меня сложилось стойкое впечатление, что пора менять саму суть механизма защиты... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor