Kredit:CC0 Public Domain
Kryptografiske eksperter ved Nanyang Technological University, Singapore (NTU Singapore) og det franske nationale forskningsinstitut for digitale videnskaber INRIA i Paris, har påvist en kritisk sikkerhedsfejl i en almindeligt anvendt sikkerhedsalgoritme, kendt som SHA-1, som ville gøre det muligt for angribere at forfalske specifikke filer og oplysningerne i dem, og give dem ud som autentiske.
Forskerne siger, at det hviler på den igangværende debat om at fortsætte med at bruge SHA-1 som en sikkerhedsalgoritme, og de opfordrer virksomhederne til hurtigt at komme videre fra at bruge det.
SHA-1 er en hashfunktion, en byggesten i kryptografi, der bruges i næsten enhver digital godkendelsesproces. De understøtter sikkerheden ved mange digitale applikationer i internetbank, webbaseret kommunikation, og betalingsportaler på online shopping sites.
Hash-funktionen tager en lang inputbesked og opretter et kort digitalt fingeraftryk til den, kaldet en hashværdi.
En hash-funktion betragtes som sikker, hvis det er svært for en hacker at finde to forskellige input, der fører til identiske hash-værdier. Når to forskellige input deler samme værdi, en "kollision" siges at være sket.
SHA-1, en hash-funktion designet af USA's National Security Agency (NSA) i begyndelsen af 1990'erne er blevet indarbejdet i mange stykker software og er fortsat i udbredt brug, men i de senere år var sikkerheden af SHA-1 blevet sat i tvivl af forskere.
Siden 2005 har et væld af sikkerhedsfejl er blevet teoretiseret og opdaget i SHA-1. I 2017 akademikere fra det hollandske forskningsinstitut Centrum Wiskunde &Informatica (CWI) og Google, genererede den første praktiske SHA-1 hash-kollision; de viste, at det var muligt at finde to forskellige inputmeddelelser, der producerede den samme SHA-1-hashværdi.
Denne beregningspræstation involverede at bruge en enorm Google-hostet grafikbehandlingsenhed (GPU) klynge, men det tillod ikke, at inputmeddelelserne blev tilpasset efter forgodtbefindende.
I maj 2019, NTU's lektor Thomas Peyrin, der forelæser på skolen for fysiske og matematiske videnskaber, og INRIA's Dr. Gaëtan Leurent, brugte forbedrede matematiske metoder til at udtænke det første nogensinde "valgte præfiks kollisionsangreb" til SHA-1.
Nu, ved at bruge en klynge af 900 GPU'er, der kører i to måneder, parret har med succes demonstreret deres måde at bryde SHA-1-algoritmen ved hjælp af dette angreb, og har offentliggjort detaljer om det i et papir på International Association for Cryptologic Research e-print-websted.
Begge forskere præsenterede også deres resultater på Real World Crypto Symposium i januar i år i New York City, og advarede om, at selvom brugen af SHA-1 er lav eller kun bruges til bagudkompatibilitet, det vil stadig udgøre en høj risiko for brugerne, da det er sårbart over for angreb. Forskerne sagde, at deres resultater fremhæver vigtigheden af en fuldstændig udfasning af SHA-1 så hurtigt som muligt.
Deres valgte præfikskollision var rettet mod en filtype kaldet et PGP/GnuPG-certifikat, som er et digitalt identitetsbevis, der er afhængig af SHA-1 som hashfunktion.
Ledet af NTU Assoc Prof Peyrin, betydningen af denne demonstration er, at i modsætning til 2017 CWI/Google-kollisionen, et kollisionsangreb med valgt præfiks viser, hvordan det ville være muligt at forfalske specifikke digitale dokumenter, så de har et korrekt fingeraftryk og kunne præsenteres som tilsyneladende autentiske ved hjælp af SHA-1.
Selvom SHA-1 allerede er gradvist udfaset af industrien, Algoritmen bruges stadig i mange applikationer. Nu er det beviseligt usikkert, og forskerne håber, at systemejere vil rykke hurtigt for at udfase brugen af SHA-1-algoritmen.
"Kollisionsangreb med valgt præfiks betyder, at en angriber kan starte med en hvilken som helst første del for begge meddelelser, og frit ændre resten, men de resulterende fingeraftryksværdier vil stadig være de samme, de vil stadig støde sammen, " siger professor peyrin.
"Dette ændrer alt med hensyn til trussel, fordi meningsfulde data, navne eller identiteter i et digitalt certifikat, kan nu forfalskes. Vi har givet et eksempel på dets virkning med et vellykket angreb på et rigtigt system, PGP (Pretty Good Privacy) Web-of-Trust, which is a well-known key-certification solution.
"As a result of our work, developers of software packages dealing with digital certificates have in the last few months already applied counter-measures in their last versions, treating SHA-1 as insecure. Our hope is that the publication of our study will further encourage industry to quickly move away from all use of such weak cryptographic functions."
Newer hash functions, such as the SHA-2 family of hash functions devised in 2001, are not affected by the attack.
Assoc Prof Peyrin and his team hope to improve digital security used in other everyday digital products and services:"Moving forward, we will continue to analyze the algorithms that keep our everyday digital applications secure as more services around the world become digitized.
"Our work illustrates the fact that keeping computers secure is not only about developing new cryptographic schemes, but also keeping up with the latest ways to break older schemes. As mathematical and computational methods improve, it is extremely important to discard methods that can no longer be relied upon."
"Cryptanalysis, the art of breaking cryptosystems, is a vital part of the security ecosystem—the more analysis you do on a cryptographic design, the more confidence you will have about deploying and using it in your products and services, " added Assoc Prof Peyrin.