Группа исследователей, занимающихся вопросами безопасности, совершила первую практическую успешную атаку на хеш-функцию алгоритма SHA-1, получив два разных файла PDF с одной и той же сигнатурой SHA-1. Это показывает, что использование алгоритма SHA-1 в целях безопасности нужно прекратить как можно скорее.
SHA-1 (Secure Hash Algorithm 1) был разработан в 1995 году. В 2005 году его признали теоретически уязвимым. Национальный институт стандартов и технологий США запретил федеральным агентствам использование SHA-1 с 2010 года, а органам сертификации не разрешается выпускать цифровые сертификаты с подписью SHA-1 начиная с 1 января 2016 года (хотя для некоторых и сделано исключение).
Но несмотря на все усилия, направленные на выведение SHA-1 из оборота, алгоритм по-прежнему довольно широко используется при проверке транзакций кредитных карт, в электронных документах, для проставления подписей PGP/GPG в электронных письмах, в программных репозиториях с открытым кодом, а также при организации резервного копирования и обновлении программного обеспечения.
Хеш-функция SHA-1 выдает буквенно-цифровую строку, которая служит для зашифрованного представления файла или какого-то набора данных. Она называется дайджестом и может использоваться в качестве цифровой подписи. Предполагается, что строка эта уникальна и защищена от методов обратного инжиниринга.
При обнаружении в хеш-функции уязвимости с назначением двум файлам одного и того же дайджеста функция считается криптографически несостоятельной, поскольку созданные с ее помощью цифровые отпечатки пальцев можно подделать, а следовательно, доверять им уже нельзя. У атакующих появляется возможность, к примеру, создать программное обновление, которое будет принято и выполнено блоком, распознающим легитимность обновления путем проверки цифровых подписей.
По оценке специалистов по криптографии, проведенной в 2012 году, стоимость атаки на SHA-1 с использованием коммерческих облачных сервисов в 2015 году составила бы порядка 700 тыс. долл., а к 2018 году опустилась до 173 тыс. долл. Но в 2015 году группа исследователей из Центра математики и информатики в Нидерландах, Наньянского технологического университета в Сингапуре и французского Государственного института исследований в области информатики и автоматизации (INRIA) обнаружила новый способ взлома SHA-1, который намного снижает стоимость проведения атаки.
Голландские исследователи, используя вычислительную инфраструктуру из облака Google, провели атаку, достигнув практического результата. Но для этого понадобилось провести девять квинтиллионов вычислений хеш-функции SHA-1.
По оценкам Google, это один из наиболее масштабных расчетов, который когда-либо выполнялся. На компьютере с одним центральным процессором для его проведения понадобилось бы 6500 лет, а на машине с одним графическим процессором – 110 лет. При выполнении вычислений использовалась та же инфраструктура, которая обслуживает программу искусственного интеллекта Alphabet AlphaGo и сервисы Google Photo и Google Cloud.
Означает ли это, что теперь взлом SHA-1 подвластен большинству атакующих? Нет, но его определенно можно совершить, обладая ресурсами государства. Менее чем через три месяца исследователи планируют представить код, при помощи которого была проведена атака, чтобы с ним могли ознакомиться и другие.
В блоге Google говорится следующее: «Специалистам в области безопасности надо быстрее переходить на более защищенные хеш-функции SHA-256 и SHA-3. Чтобы предотвратить атаки подобного рода, мы добавили для пользователей Gmail и GSuite средства защиты, позволяющие обнаруживать технологию взлома PDF. Кроме того, к соответствующей системе распознавания будет открыт доступ всем желающим».
Начиная с версии 56 браузер Google Chrome считает все сертификаты HTTPS с подписью SHA-1 небезопасными. Аналогичные изменения планируют внести и разработчики других наиболее популярных браузеров.
«Надеюсь, что усилия Google побудят поставщиков услуг оперативно удалить SHA-1 из своих продуктов и конфигураций, – отметил старший консультант MWR InfoSecurity по вопросам безопасности Дэвид Чизмон. – Несмотря на слабость алгоритма некоторые поставщики по-прежнему предлагают продукты, не поддерживающие более современные хеш-функции, или взимают за такие услуги дополнительную плату. Вопрос лишь в том, произойдет ли это до того, как злоумышленникам удастся воспользоваться уязвимостью».
Более подробная информация о проведении атаки SHAttered опубликована на специально созданном для этих целей сайте и приведена в материалах исследования.
