Det er offisielt: SHA-1 kryptografisk algoritme har blitt "SHAttered." Google brøt SHA-1. Hva nå?
Etter mange år med advarsel om at fremskritt innen moderne databehandling betydde at et vellykket kollisjonsangrep mot SHA-1 var nært forestående, har et team av forskere fra Google og Centrum Wiskunde & Informatica (CWI) i Nederland med suksess utviklet den første vellykkede SHA-1-kollisjonen. Rent praktisk bør man ikke stole på SHA-1 for praktisk sikkerhet.
Moderne kryptografiske hashfunksjoner avhenger av det faktum at algoritmen genererer en annen kryptografisk hash for hver fil. En hash-kollisjon refererer til å ha to separate filer med samme hash. Det faktum at kryptografiske svakheter i SHA-1 gjør sertifikater ved bruk av SHA-1-algoritmen som potensielt er sårbar for kollisjonsangrep, er velkjent. National Institute of Standards and Technology avskaffet SHA-1 for mer enn fem år siden, og eksperter har lenge oppfordret organisasjoner til å bytte til sterkere hasjalgoritmer. Fram til nå var det eneste som gikk for SHA-1 det faktum at kollisjonsangrep fortsatt var dyre og teoretiske.
Ikke lenger, ettersom det Google-ledede forskerteamet har utviklet en metode som lar dem generere to PDF-filer med forskjellig innhold, men generere samme SHA-1-hash. Mens kollisjonsangrepet fortsatt er dyrt, er ikke "SHA-1 knust" -angrepet lenger teoretisk, noe som betyr at angrepet er innen rekkevidde for alle som er motivert nok og med dype nok lommer.
"Vi startet med å lage et PDF-prefiks spesielt laget for å tillate oss å generere to dokumenter med vilkårlig distinkt visuelt innhold, men det ville ha til samme SHA-1-sammendrag," skrev teamet fra Google og CWI i et blogginnlegg. "Vi klarte å finne denne kollisjonen ved å kombinere mange spesielle kryptoanalytiske teknikker på komplekse måter og forbedre på tidligere arbeid."
Det er imidlertid verdt å merke seg at smiing av digitale sertifikater vil være vanskelig takket være de nye CA / Browser Forum-reglene som krever at 20 tilfeldighetsbiter legges til serienumrene til det digitale sertifikatet.
SHA-1 er død; oppfør deg deretter
I november fant Venafi-forskning at 35 prosent av organisasjonene fortsatt brukte SHA-1-sertifikater. "Disse selskapene kan like godt sette opp et velkomstskilt for hackere som sier: 'Vi bryr oss ikke om sikkerheten til våre applikasjoner, data og kunder'," sa Kevin Bocek, sjefs sikkerhetsstrateg i Venafi. "Angrep mot SHA -1 er ikke lenger science fiction. "
Selv om mange organisasjoner har jobbet med å migrere til SHA-2 det siste året, er ikke overgangen 100 prosent fullført, noe som betyr at organisasjoner som ennå ikke har avsluttet (eller startet!) Overgangen nå er i fare. Angripere har nå bevis på at kollisjonsangrep er mulig, og i henhold til Googles retningslinjer for offentliggjøring vil koden som tillater angripere å lage disse PDF-dokumentene være offentlig om 90 dager. Klokka tikker.
Googles Chrome-nettleser begynte å merke nettsteder som fremdeles bruker digitale sertifikater signert med SHA-1 som ikke klarert i begynnelsen av 2017, og Microsoft og Mozilla forventes å følge etter med Edge og Firefox. I henhold til de siste retningslinjene fra CA / Browser Forum, er hovedorganet som regulerer hvordan sertifikatmyndigheter utsteder TLS-sertifikater, nettleserleverandører og CAer, forbudt å utstede SHA-1-sertifikater.
Forskergruppen opprettet et nettbasert verktøy som skanner etter SHA-1-kollisjoner i dokumenter på nettstedet shattered.io. Google har allerede integrert beskyttelse i Gmail og Google Drive.
Mens et betydelig antall organisasjoner har tatt advarslene til seg og migrert sine nettsteder, bruker mange fortsatt SHA-1 for digital signeringsprogramvare og for å verifisere digitale signaturer og kryptografiske nøkler for ikke-nettbasert infrastruktur som programvareoppdateringer, backup-systemer, og andre applikasjoner. Versjonskontrollverktøy er også avhengige av SHA-1 - Git for eksempel "stoler sterkt" på SHA-1.
"Det er i det vesentlige mulig å opprette to GIT-arkiver med samme hode-kommisjon-hash og forskjellig innhold, si en godartet kildekode og en bakdør," skrev forskerne på shattered.io-nettstedet. "En angriper kan potensielt selektivt betjene begge depotene til målrettede brukere."
Himmelen faller ikke ... ennå
Alt som er sagt, angrepet er fortsatt vanskelig, og våpenbeskyttet malware som bruker SHAttered, kommer ikke til å treffe nettverk over natten. Forskerne sa at det var vanskelig å finne kollisjonen og til tider så "upraktisk" ut. "Vi løste det endelig ved å beskrive dette problemet som et matematisk problem," skrev forskerne.
Teamet avviklet SHA-1-beregninger totalt, som oversatt til omtrent 6500 år med single-CPU-beregninger for å fullføre den første fasen av angrepet, og 110 år med single-GPU-beregninger for å fullføre andre fase. Teknikken er fremdeles mer enn 100.000 ganger raskere enn et brutalt kraftangrep.
Den heterogene CPU-klyngen som ble brukt i den første fasen, ble arrangert av Google og spredt over åtte fysiske steder. Den heterogene klyngen av K20-, K40- og K80-GPUer som ble brukt i andre fase, ble også vert for Google.
Mens disse tallene virker veldig store, har nasjonalstater og mange store selskaper kryptoanalysekompetanse og økonomiske ressurser for å skaffe nok GPUer til å gjøre dette på en rimelig tid, hvis de virkelig ville.
Tilbake i 2015 avslørte en annen gruppe forskere en metode som ville ha kostet å skape en vellykket SHA-1-kollisjon ved bruk av Amazons EC2-sky mellom $ 75.000 og $ 120.000. Google-teamet anslår at å kjøre den andre fasen av angrepet i Amazons EC2 vil koste omtrent $ 560 000 dollar, men hvis angriperen er tålmodig og villig til å gå langsommere, faller kostnaden til $ 110 000, godt innenfor det området som er estimert tilbake i 2015.
Hva blir det neste?
Bransjen har visst siden 2011 at denne dagen skulle komme, og de fleste leverandører har sagt at de vil øke hastigheten på sine avskrivningsplaner og frister hvis et sterkere angrep blir virkelighet. NIST har anbefalt at alle flytter fra SHA-1 til SHA-2, i likhet med CA / Browser Forum. Forvent å høre nye tidslinjer og tidsplaner fra store leverandører i løpet av de neste ukene, og innfør endringene tilsvarende i infrastrukturen din.
"Vi har visst at SHA-1 har vært på dødsvakt i årevis," sa Tod Beardsley, forskningsdirektør ved Rapid7. “Når en teknologi blir vanlig på internett, er det nesten umulig å utelukke den, selv i møte med overveldende bevis på usikkerhet. Imidlertid er jeg ikke helt klar til å få panikk over dette funnet ennå. "
Men SHA-2 er underlagt de samme matematiske svakhetene som SHA-1, så hvorfor ikke gå til den sterkere SHA-3-algoritmen, som ikke deler de samme problemene? Som Roger Grimes fortalte meg, er det ikke en praktisk idé av flere grunner, og det vil sannsynligvis føre til omfattende vanskeligheter og operasjonelle utfordringer. Selv om NIST har anbefalt å flytte til SHA-3 siden august 2015, støtter praktisk talt ingen operativsystemer eller programvare det som standard. Dessuten blir SHA-2 ikke betraktet som operativt svak som SHA-1 fordi hasjlengdene er lengre, så det er bra nok å bruke for nå. SHA-2 hasjlengder varierer fra 192 bits til 512 bits, selv om 256 bits er den vanligste. De fleste leverandører vil begynne å legge til mer SHA-3-støtte over tid, så det er best å bruke overføringen til SHA-2 som mulighet til å lære hva du skal gjøre for den uunngåelige SHA-2-til-SHA-3-migreringen.
Advarslene var der hele tiden, og nå er tiden for advarsler over. IT-team må fullføre migrasjonen av SHA-1 til SHA-2, og de bør bruke nyheten om at et vellykket kollisjonsangrep nå er innen rekkevidde som hammeren til å bludgeon ledelsen til å prioritere prosjektet.
