SOS :: Security Operation Space
23 августа, пятница, 00:00
|
Hot News:

Взломать криптоалгоритм SHA-1 стало намного проще

14 мая 2019 г., вторник, 13:18

Ученые разработали методику поиска коллизий хэша SHA-1 с заданным префиксом, стоимостью всего $100 тыс.

Ученые из Франции и Сингапура разработали метод взлома криптографического алгоритма SHA-1, существенно снижающий количество вычислительных ресурсов и стоимость операции. Исследователям удалось упростить механизм поиска коллизий хэша, использованный специалистами Google для обхода подобной защиты двумя годами ранее, и добиться существенного снижения стоимости такого нападения. Как подчеркивают ИБ-аналитики, новый способ позволит злоумышленникам не полагаться на случайный поиск конфликтующих последовательностей, а самостоятельно выбирать префиксы для компрометации сертификата.

В совместной работе специалистов Французского исследовательского института информатики и автоматизации и Наньянского технологического университета утверждается, что предыдущий метод не давал атакующему возможность выбирать данные для определения потенциальных коллизий. Предложенная учеными методика лишена этого недостатка благодаря алгоритму поиска блоков данных, которые находятся в пограничном состоянии и с большей вероятностью могут быть использованы для взлома криптозащиты.

На практике это означает, что киберпреступники быстрее вычислят пару префиксов, при добавлении которых к разным документам их хэш-сумма будет одной и той же. Таким образом, злоумышленники смогут создавать фальшивые сертификаты безопасности, заверенные легитимным центром авторизации, или менять содержимое договора после того, как стороны поставили под ним цифровые подписи.

Принципиальным моментом предложенного алгоритма является снижение числа операций, необходимых для проведения атаки. Если ранее для взлома SHA-1 требовалось порядка 277.1 итераций, то методика, описанная учеными, предполагает всего от 266.9 до 269.4 циклов. Вычисления такого масштаба обойдутся нападающим менее чем в $100 тыс. — сумма, вполне доступная для спецслужб и крупных кибергруппировок.

Целью исследования была демонстрация ненадежности криптоалгоритма, от поддержки которого давно отказались создатели Chrome, Firefox, Edge и Internet Explorer. В феврале этого года Microsoft объявила, что к сентябрю перестанет использовать SHA-1 для подписи обновлений своих операционных систем. Тем не менее, ученые предупреждают, что слабые сертификаты все еще могут быть приобретены в некоторых удостоверяющих центрах и принимаются рядом почтовых клиентов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:35
16:12
15:03
14:15
13:15
13:15
13:06
12:15
10:15
10:15
08:15
07:15
06:15
06:15
16:32
16:15
15:15
14:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.327
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.