三年前,Ars宣布SHA1加密哈希算法正式死亡,因为研究人员在其上执行了世界上第一个已知的致命漏洞实例,即所谓的“碰撞”。周二,死亡的SHA1马再次遭受重击,另一组研究人员公布了一种新的攻击,其威力要大得多。
与以前的技术相比,新的冲突为攻击者提供了更多的选择和灵活性。它使得创建PGP加密密钥变得实际,当使用SHA1算法进行数字签名时,可以模拟所选的目标。更一般地说,它为两个或多个攻击者选择的输入生成相同的散列,方法是将数据附加到每个输入中。周二公布的攻击行动的实施成本也只有4.5万美元。相比之下,2017年披露的攻击不允许在特定的预先确定的文档前缀上进行伪造,在亚马逊的网络服务平台上评估的攻击成本从11万美元到56万美元不等,这取决于对手想要多快实施攻击。
这次新的攻击意义重大。虽然SHA1在过去5年里已经被慢慢淘汰,但它仍然远远没有被完全淘汰。在GnuPG的1.4版本分支中,沐鸣开户测速它仍然是认证PGP密钥的默认散列函数,GnuPG是PGP加密电子邮件和文件应用程序的开源继承者。这些sha1生成的签名直到最近才被现代GnuPG分支接受,直到新碰撞背后的研究人员私下报告了他们的结果后才被拒绝。
Git是世界上使用最广泛的多人软件开发管理系统,它仍然依赖SHA1来确保数据的完整性。许多依赖于HTTPS加密的非web应用程序仍然接受SHA1证书。在传输层安全性和安全Shell协议中,SHA1仍然允许协议内签名。
在一篇发表于本周的现实世界中加密研讨会在纽约市,研究人员警告说,即使使用SHA1较低或仅用于向后兼容性,它将让用户攻击的威胁降低破碎的哈希函数加密连接。研究人员表示,他们的研究结果强调了尽快全面淘汰SHA1的重要性。
研究人员写道:“这项工作一劳永逸地表明,在任何安全协议中都不应该使用SHA1,因为在这种安全协议中,哈希函数可能会产生某种碰撞抗性。”“在TLS或SSH中继续使用SHA1作为证书或握手消息的身份验证是危险的,有被动机良好的对手滥用的具体风险。SHA1自2004年起就被破坏了,但它仍然在许多安全系统中使用;我们强烈建议用户删除SHA1支持,以避免降级攻击。”
哈希底漆
总结一下,散列是消息、文件或其他类型数字输入的加密指纹,与传统指纹一样,它看起来是惟一的。也称为消息摘要,散列在确保软件更新、加密密钥、电子邮件和其他类型的消息是特定个人或实体的真实产品方面起着至关重要的作用,而不是由对手创建的伪造输入。这些数字指纹以数字和字母的固定序列的形式出现,这些数字和字母序列是在将消息输入到哈希算法或函数时生成的。
哈希方案的整个安全性取决于找到两个或多个产生相同指纹的不同输入的不可行性。一个长度为n的函数应该要求蛮力攻击者在发现冲突之前测试2n/2的输入(一个称为生日悖论的数学概念显著地减少了所需的猜测次数,在等式中占了n/2)。具有足够位长和抗冲突能力的散列函数是安全的,因为它们需要攻击者投入不可行的时间和计算资源来生成冲突。当使用不到2n/2次尝试就可以发现冲突时,哈希函数被认为是被破坏的。
128位的MD5哈希函数是较早被广泛使用的进入者之一。尽管研究人员早在1996年就警告说,MD5的缺陷使其容易发生碰撞,但在此后20多年的时间里,MD5仍然是软件和Web身份验证的关键部分。
然后,在2008年,研究人员使用MD5冲突为他们选择的任何网站创建一个HTTPS证书。演示最终说服了受浏览器信任的证书颁发机构放弃MD5,但该功能仍被广泛用于其他目的。完全弃用MD5进行身份验证的目的没有来,直到2012年,当火焰间谍恶意软件,据报道,美国和以色列的伊朗网络用于监视敏感,掌握碰撞劫持攻击微软的Windows更新机制所以火焰可以从计算机在受感染的计算机网络传播。
事实证明,SHA1所遵循的路径与MD5惊人地相似。SHA1已经是验证软件更新、加密密钥和其他敏感数据的官方标准的关键部分,在MD5死后,沐鸣开户测速它变得更加重要。但它也有自2004年以来众所周知的碰撞漏洞。向具有更好的碰撞抗性的新算法过渡的难度,使得SHA1即使在2015年之后仍能广泛使用,当时研究人员预测,到年底它可能会屈服于碰撞攻击。
SHA1死了。SHA1万岁
进一步的阅读
多年来,广泛使用的SHA1函数现在已经死了
大约16个月后,研究人员展示了世界上已知的对SHA1的第一次碰撞攻击。它以两个PDF文件的形式出现,尽管显示的内容不同,但具有相同的SHA1散列。它背后的研究人员表示,它可以让房东用碰撞哈希法起草两份租赁协议。房东可以让租客在一份提供低租金的文件上进行数字签名,然后要求租客签署租赁协议,同意支付更高的租金。
这次攻击——在亚马逊的云计算平台上执行只需11万美元——被密码学家称为经典的碰撞攻击。也称为相同的前缀冲突,当两个输入具有相同的预先确定的前缀或开始,以及随后不同的数据时,就会导致冲突。尽管这两个输入有明显的不同,但如果将附加数据附加到文件中,它们可以散列到相同的值。换句话说,对于哈希函数H,两个不同的消息M1和M2将导致相同的哈希输出:H(M1) = H(M2)。
相同的前缀冲突非常强大,对哈希函数的安全性是致命的打击,但它们对攻击者的实用功能也很有限。一种更强大的冲突形式被称为“选择性前缀攻击”,它允许在2008年对HTTPS证书系统进行MD5攻击,并在2012年对微软的更新机制进行MD5攻击。虽然比相同的前缀冲突更难执行,但选择的前缀兄弟通常更有用。
这是因为所选择的前缀攻击允许攻击者使用两个或多个不同的前缀(与传统的冲突攻击中使用相同的前缀不同),并向每个前缀添加数据,这样它们就可以散列到相同的值。给定两个消息前缀P1和P2,攻击者可以计算两个消息M1和M2,使H(P1 || M1) = H(P2 || M2),其中||表示“连接”,即连接这两个消息的行为。内容分发网络Cloudflare的研究和密码学主管尼克•沙利文(Nick Sullivan)在2015年的这篇文章中对所选择的前缀冲突进行了更详细的解释。
PGP / GnuPG模拟
周二演示的攻击是已知的SHA1上第一次选择的前缀冲突。为了证明它的威力,法国Inria和新加坡南洋理工大学的研究人员Gaetan Leurent和Thomas Peyrin分别使用碰撞来执行PGP/GnuPG模拟攻击。在他们的现实世界密码论文中,研究人员解释道:
所选的前缀对应两个具有不同大小密钥的PGP身份证书的标头,一个是RSA-8192密钥,另一个是RSA-6144密钥。利用OpenPGP和JPEG格式的属性,我们可以创建两个公钥:关键和受害者的名字,和关键B与攻击者的名字和照片,这样包含攻击者的身份证明关键和图片一样的sha - 1哈希关键包含受害者的身份证明和名称。因此,攻击者可以请求他的签名密钥和图片来自第三方的信任(从Web或CA)和签名转移到关键的签名仍然是有效的,因为碰撞,而攻击者控制的关键与受害者的名字,并由第三方签署。因此,他可以冒充受害者,以她的名义签署任何文件。
在进一步演示攻击的帖子中,研究人员同时提供了messageA和messageB。尽管包含不同的用户ID前缀,但它们都映射到相同的SHA1散列值8ac60ba76f1999a1ab70223f225aefdc78d4ddc0。
研究人员的结果显著提高了SHA1攻击的效率,加速因子约为10。更准确地说,沐鸣开户测速新的攻击将相同前缀冲突攻击的成本从264.7降低到261.2,在GTX 970图形处理器上执行选择前缀冲突攻击的成本从267.1降低到263.4。
研究人员在网上租来的900台Nvidia GTX 1060 gpu集群上进行了为期两个月的攻击。他们说,租来的集群是一个比亚马逊网络服务和竞争对手的云服务更经济的平台。几个月前,攻击的成本是7.4万美元,但随着优化的实现和计算成本持续下降,研究人员表示,相同的攻击现在的成本是4.5万美元。研究人员估计,到2025年,攻击将耗资1万美元。其结果是:自2009年以来,MD5所选择的前缀攻击现在也适用于SHA1,而且只会随着时间的推移而变得更加可承受。
沙1:愿它(最终)安息
研究人员私下向受影响最大的软件开发者报告了他们的研究结果。他们包括:
GnuPG。作为回应,开发商在11月实施了一项对策,使2019年1月之后创建的基于sha的身份签名失效。
颁发PGP密钥的证书颁发机构。研究人员注意到,在公共密钥服务器上存在大量带有最近SHA1签名的cache发行的密钥。这可能表明CA仍然使用SHA1来签署用户密钥。CAcert已经承认了这个问题,并计划从SHA1中撤出。
OpenSSL是一个密码库,它在许多安全敏感的上下文中继续接受SHA1证书。开发人员的回应是,他们正在考虑在这些上下文中禁用SHA1。
然而,考虑到仍然依赖SHA1进行抗碰撞哈希的应用程序和协议的数量,研究人员无法联系到所有受影响的开发人员。为了防止这些攻击在野外被积极使用,研究人员暂时保留了许多碰撞细节。
专攻密码学的约翰霍普金斯大学(Johns Hopkins University)教授马特格林(Matt Green)说,研究结果令人印象深刻,并强调了经常重复的观察结果,即SHA1不再被认为是安全的。
他在一次采访中说:“对于一个安全的哈希函数来说,10倍的(加速)应该不会有太大的区别,但当你遇到一个非常接近崩溃的东西时,这种效率真的会有很大的区别,特别是当有很多挖掘硬件的时候。”“我们知道一只鞋掉了,这是下一只。”