Новая криптографическая атака упростила поиск коллизий в SHA-1
11.06.2009
Специалисты в области криптографии обнаружили новые слабые места в широко распространенном алгоритме генерации цифровой подписи, что может привести к серьезным последствиям при работе с приложениями, которые используются для подписывания электронных писем, ратификации веб-сайтов и десятков других нужд, где требуется аутентификация.
Исследователи из сиднейского Университета Макуори нашли способ взлома алгоритма шифрования SHA-1 за значительно меньшее количество попыток перебора, чем раньше. Если до этого считалось, что алгоритм выдерживает 263 попыток, то сейчас эта цифра сократилась до 252 попыток подбора, что позволяет организациям с серьезным бюджетом успешно решить эту задачу.
В опубликованном вчера докладе (PDF) исследователи заключают, что создавать коллизии хеша SHA-1(когда два файла имеют один и тот же хэш) стало значительно проще, а Пол Кохер из консалтинговой фирмы Cryptography Research полагает, что в связи с новым открытием первые успехи в создании коллизий хеша появятся уже в этом году. И по его мнению, это действительно настораживает.
За примерами далеко ходить не надо – коллизии в дискредитированном ныне алгоритме MD5 помогли независимым исследователям создать поддельные цифровые сертификаты, позволяющие подделывать подписи сайтов, полагающихся на такой способ защиты. Это привело к тому, что выпускающие SSL-сертификаты компании (например, RapidSSL) вынуждены были поменять методы их выпуска. Кроме того, ранее были обнаружены уязвимости и в других хешах, например SHA-0 и MD4, делающие создание коллизий для них сравнительно легким занятием. Последний случай лишь развивает эту тенденцию.
Впрочем, разработанный учеными метод работает только с коллизиями, при этом подразумевается, что нападающий контролирует оба сообщения, хэш которых должен совпасть. Тем не менее, SHA-1 все еще не поддается такой атаке, в ходе которой злоумышленник пытается создать сообщение, хэш которого совпадает с хешем заранее заданного сообщения.
