Demonštrované kolízie SHA-1 reálnych súborov

DSL.sk, 28.8.2006

Dvojica PhD študentov z IAIK v rakúskom Grazi prezentovala minulý týždeň na konferencii Crypto 2006 útok na SHA-1 hashovaciu funkciu, ktorý umožňuje nájsť kolíziu s časťou súborov zvolených užívateľom.

SHA-1 je pritom v súčasnosti najpoužívanejšou hashovacou funkciou, napríklad v súčasnosti vydávané X.509 certifikáty zabezpečujúce webové stránky využívajú po objavení chýb v MD5 takmer výlučne SHA-1.

Útok podľa dostupných informácií umožňuje zvoliť užívateľovi dve málo sa líšiace verzie súboru, ktoré útok doplní v oboch prípadoch približne trojnásobkom rozdielnych útokom vygenerovaných náhodných dát tak, že SHA-1 hash oboch rozdielnych súborov je rovnaký.

Aká časť dvoch verzií zvoleného súboru sa môže líšiť, respektíve ako ovplyvňuje zložitosť útoku, nebolo špecifikované, prezentovaná bola kolízia so zmenou dátumu v textovom dokumente. 25% zvoleného textu bude možné podľa autorov zvýšiť ďalšou optimalizáciou útoku.

Hoci posledné 3/4 generovaných súborov tvoria rozdielne náhodné dáta, už táto verzia útoku je použiteľná aj v praxi, keď niektoré formáty umožňujú ignorovať časť súboru po logickej značke konca súboru.

Generované súbory s rovnakým elektronickým podpisom tak budú mať rozdielny obsah, pričom pri prehliadaní v príslušnom softvéri podozrivá náhodná časť súborov nebude viditeľná a súbory sa tak môžu javiť ako plne legitímne.

Útok bol demonštrovaný na 64-krokovej variante SHA-1, podľa vyjadrenia autorov pre heise Security je priamo a prakticky rozšíriteľný aj na plnú 80-krokovú variantu. V prípade úspešnej implementácie pre plnú 80-krokovú verziu bude potrebné aj SHA-1 považovať za prelomenú.

Doteraz bol známy útok na kolízie v SHA-1, vyvinutý čínskymi vedcami, ktorý ale umožňoval generovať len dva plne náhodné súbory s rovnakou hash hodnotou.

Zatiaľ plne bezpečnými hashovacími funkciami zostávajú už len RIPEMD-128, RIPEMD-160, SHA-256, SHA-512, Tiger a WHIRLPOOL.


Najnovšie články:



Diskusia:

pjotor Od: pjotor | Pridané: 28.8.2006 11:00 tak to uz zacina byt vazne vo vsetkych aplikaciach na bezpecne uschovanie pouzivam SHA 1. Vsetky routery maju bud MD5 alebo SHA 1 teraz co??? Som zvedavy ako zareaguju vyrobcovia softwaru a hardwaru. Odpovedať Hodnotiť:

tom Od: tom | Pridané: 28.8.2006 11:34 to uz zacalo byt vazne pred 2 rokmi :) veru neviem co teraz, ale myslim, ze vsetci budu veci tlmit a tutlat, prechod na ine hashe v kratkom case je nerealny, otazne je, ci to ma vobec zmysel, potrebne je hladat matematicky podporenu hash... Odpovedať Hodnotiť:

tom Od: tom | Pridané: 28.8.2006 13:18 to znamena, ze prelomene su aj data, ktore su ulozene ako sha1/md5 v databaze mysql? napr pristupove hesla na phpBB forum ... Odpovedať Hodnotiť:

PH Od: PH | Pridané: 28.8.2006 14:21 Myslíte zistenia textu (hesla) z jeho sha-1 hashu? Nie, títo podľa prezentácie dokážu len presne to, čo je v tomto článku, nájsť kolíziu dogenerovaním dát k dvom málo sa líšiacim textom/súborom. nevedia zabezpečiť daný konkrétny sha-1 hash. Tamto by vyžadovalo nájdenie kolízie s daným konkrétnym ľubovoľným sha-1 hashom, také niečo zatiaľ nebolo zverejnené. Keby áno, nastali by okamžite naozaj vážne problémy. Odpovedať Hodnotiť:

matthew Od: matthew | Pridané: 28.8.2006 15:19 juuuuuuu, prestante strasit vsetci ... Ani nechcem pomysliet na to ake by to malo nasledky ... Odpovedať Hodnotiť:

tibor Od: tibor | Pridané: 30.8.2006 0:10 ako by ste pisali o atomovej elektrarni ani neviem o com:) Odpovedať Hodnotiť:

Pridať komentár