グーグルは衝突攻撃に成功してSHA-1を殺す

公式:SHA-1暗号化アルゴリズムは「SHAttered」されています。GoogleはSHA-1の破壊に成功しました。それで?

現代のコンピューティングの進歩がSHA-1に対する衝突攻撃の成功が差し迫っていることを意味するという長年の警告の後、GoogleとオランダのCentrum Wiskunde&Informatica(CWI)の研究者チームは、最初の成功したSHA-1衝突の開発に成功しました。実際には、SHA-1は実用的なセキュリティのために信頼されるべきではありません。

最新の暗号化ハッシュ関数は、アルゴリズムがファイルごとに異なる暗号化ハッシュを生成するという事実に依存しています。ハッシュの衝突とは、同じハッシュを持つ2つの別々のファイルがあることを指します。 SHA-1の暗号化の弱点により、SHA-1アルゴリズムを使用する証明書が衝突攻撃に対して潜在的に脆弱になるという事実はよく知られています。米国国立標準技術研究所は5年以上前にSHA-1を廃止し、専門家は組織に強力なハッシュアルゴリズムへの切り替えを長い間求めてきました。これまで、SHA-1で行われた唯一のことは、衝突攻撃が依然として高価で理論的であるという事実でした。

Google主導の研究チームが、コンテンツが異なる2つのPDFファイルを生成できるが、同じSHA-1ハッシュを生成できる方法を開発したため、もはやそうではありません。衝突攻撃は依然として高額ですが、「SHA-1粉砕」攻撃はもはや理論的ではありません。つまり、攻撃は十分に動機付けられ、十分に深いポケットを持っている人なら誰でも手の届く範囲にあります。

「私たちは、任意の異なる視覚的コンテンツを持つ2つのドキュメントを生成できるように特別に作成されたPDFプレフィックスを作成することから始めましたが、それは同じSHA-1ダイジェストにハッシュされます」とGoogleとCWIのチームはブログ投稿に書いています。「多くの特別な暗号分析技術を複雑な方法で組み合わせ、以前の作業を改善することで、この衝突を見つけることができました。」

ただし、デジタル証明書のシリアル番号に20ビットのランダム性を追加する必要がある新しいCA /ブラウザフォーラムのルールのおかげで、デジタル証明書の偽造は依然として困難であることに注意してください。

SHA-1は死んでいます。それに応じて行動します

11月、Venafiの調査によると、組織の35%がまだSHA-1証明書を使用しています。Venafiのチーフセキュリティストラテジスト、Kevin Bocekは、次のように述べています。 -1はもはや空想科学小説ではありません。」

多くの組織が過去1年間SHA-2への移行に取り組んできましたが、切り替えは100%完了していません。つまり、切り替えをまだ完了していない(または開始していない)組織は現在リスクにさらされています。攻撃者は衝突攻撃の可能性を証明できるようになりました。Googleの開示ポリシーでは、攻撃者がこれらのPDFドキュメントを作成できるようにするコードは90日以内に公開されます。時計が時を刻んでいる。

GoogleのChromeWebブラウザーは、2017年の初めにSHA-1で署名されたデジタル証明書を使用しているWebサイトを信頼できないものとしてマークし始め、MicrosoftとMozillaはEdgeとFirefoxに続くと予想されています。CA /ブラウザフォーラムの最新のガイドラインでは、認証局がTLS証明書を発行する方法を規制する本体、ブラウザベンダー、およびCAがSHA-1証明書を発行することを禁止されています。

研究チームは、shattered.ioWebサイトのドキュメントでSHA-1の衝突をスキャンするオンラインツールを作成しました。GoogleはすでにGmailとGoogleドライブに保護を統合しています。

かなりの数の組織が警告を真摯に受け止め、Webサイトを移行しましたが、多くの組織は依然としてSHA-1を使用してソフトウェアにデジタル署名し、ソフトウェアの更新、バックアップシステム、およびその他のアプリケーション。バージョン管理ツールもSHA-1--Gitに依存しています。たとえば、SHA-1に「強く依存」しています。

「本質的に、同じヘッドコミットハッシュと異なるコンテンツで2つのGITリポジトリを作成することは可能です。たとえば、良性のソースコードとバックドアのソースコードです」と研究者たちはshattered.ioサイトに書いています。「攻撃者は、いずれかのリポジトリをターゲットユーザーに選択的に提供する可能性があります。」

空は落ちていません...まだ

とはいえ、攻撃は依然として困難であり、SHAtteredを使用した武器化されたマルウェアが一夜にしてネットワークを攻撃することはありません。研究者たちは、衝突を見つけるのは難しく、時には「非現実的」に見えると述べた。「私たちは、この問題を数学の問題そのものとして説明することで、最終的にそれを解決しました」と研究者たちは書いています。

チームは、合計で9兆(9,223,372,036,854,775,808)を超えるSHA-1計算を実行することになりました。これは、攻撃の最初のフェーズを完了するための約6、500年のシングルCPU計算と、攻撃の最初のフェーズを完了するための110年のシングルGPU計算に相当します。第2フェーズ。この手法は、ブルートフォース攻撃よりも10万倍以上高速です。

最初のフェーズで使用された異種CPUクラスターはGoogleによってホストされ、8つの物理的な場所に分散していました。第2フェーズで使用されたK20、K40、およびK80GPUの異種クラスターもGoogleによってホストされていました。

これらの数は非常に多いように見えますが、国民国家や多くの大企業は、本当に必要な場合に、妥当な時間でこれを実行するのに十分なGPUを取得するための暗号解読の専門知識と財源を持っています。

2015年に、別の研究者グループが、AmazonのEC2クラウドを使用してSHA-1の衝突を成功させるためのコストを75,000ドルから120,000ドルにする方法を開示しました。Googleチームは、AmazonのEC2で攻撃の第2フェーズを実行すると、約56万ドルの費用がかかると見積もっていますが、攻撃者が忍耐強く、より遅いアプローチを採用する意思がある場合、その費用は110,000ドルに下がり、2015年に見積もられた範囲内に収まります。

次は何ですか?

業界は2011年以来、この日が来ることを知っており、ほとんどのベンダーは、より強力な攻撃が現実になれば、非推奨の計画と期限を早めると述べています。NISTは、CA /ブラウザフォーラムと同様に、すべての人がSHA-1からSHA-2に移行することを推奨しています。今後数週間にわたって主要ベンダーから新しいタイムラインとスケジュールを聞き、それに応じて変更をインフラストラクチャに組み込むことを期待してください。

Rapid7の調査責任者であるTodBeardsleyは、次のように述べています。「テクノロジーがインターネット上で一般的になると、その不安定さの圧倒的な証拠に直面しても、それを打ち消すことはほぼ不可能です。しかし、私はまだこの発見に慌てる準備ができていません。」

しかし、SHA-2はSHA-1と同じ数学的弱点の影響を受けます。同じ問題を共有しない、より強力なSHA-3アルゴリズムに移行してみませんか?のRogerGrimesが私に言ったように、それはいくつかの理由で実用的なアイデアではなく、大規模な困​​難と運用上の課題につながる可能性があります。 NISTは2015年8月からSHA-3への移行を推奨していますが、デフォルトでサポートしているオペレーティングシステムやソフトウェアはほとんどありません。また、SHA-2はハッシュ長が長いため、SHA-1ほど操作上弱いとは見なされないため、今のところ使用するのに十分です。 SHA-2ハッシュ長の範囲は192ビットから512ビットですが、256ビットが最も一般的です。ほとんどのベンダーは、時間の経過とともにSHA-3サポートの追加を開始するため、避けられないSHA-2からSHA-3への移行を行う方法を学ぶ機会として、SHA-2への移行を使用するのが最善です。

警告はずっとそこにありました、そして今警告の時間は終わりました。ITチームは、SHA-1からSHA-2への移行を完了する必要があり、衝突攻撃が成功したというニュースを、経営陣にプロジェクトの優先順位付けを槌で打つためのハンマーとして使用する必要があります。