Η κρυπτογράφηση SHA-1 έσπασε!

Η SHA1 (Secure Hash Algorithm 1) κρυπτογραφική συνάρτηση κατακερματισμού είναι πλέον επίσημα νεκρή  και καθίσταται άχρηστη, αφού η Google εχθές με ένα απλό blog post, ανακοίνωσε την πρώτη επιτυχημένη collision attack επάνω στον αλγόριθμο SHA-1.

To collision attack είναι αλλιώς όταν προσπαθούμε να βρούμε δύο εισόδους να παράγουν την ίδια τιμή κατακερματισμού. Είναι πολύ δύσκολο εώς αδύνατον λόγω του μήκους των κλειδιών αλλά και του αποτελέσματος, να μπορέσει να βρεθεί και δεύτερη είσοδος σε μια συνάρτηση hash, που θα φέρει το ίδιο αποτέλεσμα με την πρώτη.

sha1 collision attack

Ο SHA1 είναι ένας κρυπτογραφικός αλγόριθμος που παίρνει μια συμβολοσειρά εισόδου ( για παράδειγμα e-mail, κωδικό πρόσβασης, ή οποιοδήποτε άλλο κείμενο) και το μπερδεύει ανακατεύοντας, και δημιουργεί μια  δυσανάγνωστη συμβολοσειρά κειμένου, γνωστή ως δακτυλικό αποτύπωμα.

Συστήθηκε πρώτη φορά το 1995 από μια ομάδα της υπηρεσίας NSA, δύο χρόνια μετά τον SHA-0 το λιγότερο βελτιωμένο αλγόριθμο.

Ουσιαστικά εχθές μετά από 20 χρόνια ζωής του SHA-1, ανακοινώθηκε το σπάσιμο αυτού του αλγορίθμου. Δύο ερευνητές από το Ινστιτούτο CWI σε συνεργασία με μια ομάδα της Google θυσίασαν 2 χρόνια έρευνας και πέτυχαν ένα ξεκλείδωμα του αλγορίθμου στην πράξη και σαν απόδειξη αυτού έδωσαν στη δημοσιότητα δυο έγγραφα PDF,  ένα κανονικό και ένα «μολυσμένο» ή αλλιώς παραλαγμένο, τα οποία όμως περνόντας μέσα από την επεξεργασία του αλγορίθμου παράγουν το ίδιο δακτυλικό αποτύπωμα.

Το κακό της υπόθεσης είναι ότι ο SHA1 χρησιμοποιείται ευρέως στο διαδίκτυο και όχι μόνο, αλλά και σε συναλλαγές με όλα τα κράτη για πολύ σοβαρά έγγραφα ακόμη και απόρρητα.

Μας ενημερώνουν:

This industry cryptographic hash function standard is used for digital signatures and file integrity verification, and protects a wide spectrum of digital assets, including credit card transactions, electronic documents, open-source software repositories and software updates.

Τα καλά της υπόθεσης  είναι 1) ότι υπάρχουν πλεον πιο εξελιγμένοι αλγόριθμοι όπως οι SHA2 και SHA3, που μπορούν να χρησιμοποιηθούν και να μην έχουμε πρόβλημα και 2) ότι η υπολογιστική ισχύς που απαιτείται για να σπάσει ξανά ο αλγόριθμος, είναι τεράστια άρα και δύσκολα να χρησιμοποιηθεί από κάποιους κακόβουλα.

Ειδικοί σε θέματα κρυπτογράφησης είχαν προειδοποιήσει ότι το κόστος για να σπάσει ο SHA1 θα έπεφτε από το 2018 και μετά, όταν οι υπολογιστικοί διακομιστές που απαιτούνται για την εκτέλεση της επίθεσης θα έπεφταν σε μια τιμή των $ 173,000 / € 153,000.

Πώς ελέγχω εάν ένα έγγραφο που έχω είναι πράγματι το γνήσιο σε σχέση με την κρυπτογράφηση που μου υποσχέθηκαν;

http://shattered.io/

Η Google δημιούργησε το παραπάνω site, για να κάνεις τον έλεγχο στα κρυπτογραφημένα αρχεία σου.

Ανακοίνωσε επίσης ότι το proof of concept, θα το κυκλοφορήσει σε 90 ημέρες, γεγονός που σημαίνει ότι οι εταιρίες που επίσημα ακόμη χρησιμοποιούν SHA-1 έχουν 3  μήνες στην διάθεσή τους για να μεταβούν σε μια πιο ασφαλή κρυπτογραφική μέθοδο.

Και φρόντισε να μας τα εξηγήσει και πολύ απλά με ένα infographic:

infographic για το σπασιμο του SHA-1

 

 

 

Copyright © 2016. Created by Pointer.