在经由两年的联合研究和花费了巨大的打算机韶光之后,研究职员在他们的研究网站 SHAttered 上给出了两个内容不同,但是具有相同 SHA-1 择要的 PDF 文件(PDF 1、 PDF 2),这就意味着在理论研究长期以来警示 SHA-1 算法存在风险之后,SHA-1 算法的实际攻击案例也浮出水面,同时也标志着 SHA-1 算法终于走向了生命的末期。
2017年2月23日,荷兰阿姆斯特丹 Centrum Wiskunde & Informatica (CWI) 研究所和 Google 公司的研究职员 [Marc Stevens (CWI Amsterdam), Elie Bursztein (Google), Pierre Karpman (CWI Amsterdam), Ange Albertini (Google), Yarik Markov (Google), Alex Petit Bianco (Google), Clement Baisse (Google)] 在谷歌安全博客上发布了天下上第一例公开的 SHA-1 哈希碰撞实例!
在经由两年的联合研究和花费了巨大的打算机韶光之后,研究职员在他们的研究网站 SHAttered 上给出了两个内容不同,但是具有相同 SHA-1 择要的 PDF 文件(PDF 1、 PDF 2),这就意味着在理论研究长期以来警示 SHA-1 算法存在风险之后,SHA-1 算法的实际攻击案例也浮出水面,同时也标志着 SHA-1 算法终于走向了生命的末期。
干系背景
MD-SHA 系列 Hash 函数家族是最为有名的 Hash 函数家族,MD5,SHA-1 和 SHA-2 都被广泛的利用过。1990 年 MD4 算法被提出,但是被很快创造了严重的安全问题,在 1992 年被 MD5 算法取代。MD5 算法在之后的十几年内被软件行业广泛利用,直到 2004 年我国密码学家王小云在国际密码谈论年会(CRYPTO)上展示了 MD5 算法的碰撞并给出了第一个实例(《Collisions for hash functions MD4, MD5, HAVAL-128 and RIPEMD,rump session of CRYPTO 2004,How to Break MD5 and Other Hash Functions,EuroCrypt 2005》)。该攻击繁芜度很低,在普通打算机上只须要几秒钟的韶光。在 2005 年王小云教授与其同事又提出了对 SHA-1 算法的碰撞算法(《Finding Collisions in the Full SHA-1, CRYPTO 2005》),不过打算繁芜度为 2 的 69 次方,在实际情形下难以实现。
在现实天下中,利用 Hash 碰撞的真实案例确确实实发生在我们身边:
2008 年的 Chaos Communication Congress 大会上,研究职员展示了利用 MD5 碰撞来假造合法 CA 证书,从而攻破 HTTPS 的安全体系。
2012 年在中东大范围爆发的火焰Flame病毒,包含了一个假造的数字署名,便是利用 MD5 碰撞假造了合法的微软署名往返避杀毒软件的查杀。
攻击进程
本次攻击的关键师长西席是荷兰阿姆斯特丹 CWI 研究所的 Marc Stevens,他自 2006 年以来一贯在 Hash 算法的研究领域揭橥了大量令人艳羡的成果,包括一系列关于 MD5 算法的攻击。2009 年他作为一作的论文 《Short chosen-prefix collisions for MD5 and the creation of a rogue CA certificate 》在当年的 CRYPTO 上得到了最佳论文奖,在 2013 年的 Eurocrypt 上,他揭橥了一篇论文——《New collision attacks on SHA-1 based on optimal joint local-collision analysis》,提出告终构 SHA-1 碰撞的一种新的攻击方法(攻击繁芜度为 2 的 61 次方,随后又提出了基于 GPU 的高效实现方法),随后数年不断提出了新的改进方法,在 2016 年他给出了关于 SHA-1 算法的 Freestart collision,也便是找到了 SHA-1 算法内部的核心组件 internal compression function 的一个碰撞实例(64 GPU 集群,10 天打算量),这就已经吹响了占领 SHA-1 完备实际碰撞攻击的决斗号角。终于,在 Google 公司强有力的打算资源支持之下,在 2017 年 2 月 23 日,SHA-1 算法的碰撞实例涌如今我们面前!
这次攻击到底利用了多强的打算资源,我们可以看一下谷歌安全博客给出的原始数据:
Nine quintillion (9,223,372,036,854,775,808) SHA1 computations in total6,500 years of CPU computation to complete the attack first phase110 years of GPU computation to complete the second phase可以看到,这样如此强劲的打算能力险些是历史上最大规模的一次打算 Hash 碰撞的实验。谷歌安全博客还专门配了一幅图来比较,如果利用暴力搜索,利用的打算资源纵然是 Google 也无法承担,而在人类聪慧的研究之下,改进的 Shattered 算法只须要 110 个 GPU 年就可以完成第二阶段的搜索任务。
关于攻击的更多细节,可以参考论文——《The first collision for full SHA-1》。关于这篇论文,还有很多幕后的八卦,LoCCS 实验室理论密码研究组长期从事分组加密算法研究的王磊研究员曾与 Marc Stevens 全家聚餐,亲切交谈,并与本次事情的作者之一 Pierre Karpman 长期互助互换,王磊老师见告我们,他目睹了这个密码学历史性事宜的诸多进展,这个轰动性结果乃至让今年某顶级学术会议的 Deadline 为之延期!
!
!
安全建议
我们指出,SHA-1 碰撞攻击影响了大量现有的安全运用。
目前许多支配的 SSL/TLS 做事连接中均利用了 SHA-1 算法作为验证的基本密码学原语,因此受到该攻击的影响;盛行的源代码管理系统 Git 直到目前依然利用 SHA-1 作为文件的“指纹”。
其余一个广泛受到影响的场景是 Android 系统中运用、升级包、Bootloader 等模块的署名机制(RSA + SHA-1),虽然 Android 7.0 给出的全新的署名方案 APK Signature Scheme v2 中支持 SHA-2 家族的 SHA-256 和 SHA-512,但经由我们的验证,目前大量设备仍旧在利用 sha1withRSA 的署名验证。在碰撞攻击的影响下,攻击者能够布局出内容修改但是署名同等的文件绕过验证。只管打算量巨大且对内容的掌握存在一定的困难,但是我们认为这类安全机制已经不再可信。
Google 公司和诸多 IT 安全研究职员均在过去几年呼唤开拓者尽快改换 SHA-1 算法,早在 2014 年,Chrome 团队就已经宣告了淘汰 SHA-1 算法的韶光表,本次碰撞实例的发布,也给所有还在持不雅观望和犹豫态度的人敲响了警钟:赶紧为安全的系统启用新的 Hash 算法!
事实上,SHA-1 算法的后继算法早就已经被研究职员设计和推广,SHA-2 算法家族(包括六种 Hash 函数:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256)在 2001 年就已经公布,而 NIST 在经由多年的 SHA-3 设计竞赛后,在 2015 年正式推举由著名的密码学研究职员 Guido Bertoni, Joan Daemen, Michaël Peeters 和 Gilles Van Assche 共同设计的 Keecak 算法家族作为 SHA-3 的候选算法。更为值得把稳的是,中国国家密码管理局同样在 2010 年底发布了我国自主的国密 SM3 择要(密码杂凑)算法。这些算法的安全性在目前经受住了广泛的测试和剖析,是值得相信的。以是,文章的末了,GoSSIP 小组建议大家:任何以 SHA-1 作为择要算法的安全产品该当尽快改换至这些更为安全的 Hash 算法。
上海交通大学密码与打算机安全实验室(LoCCS)软件安全小组(GoSSIP)版权所有,转载请与作者取得联系!
本文已获授权转载。本文利用的图片来自谷歌安全博客。
本文转自:https://www.linuxprobe.com/password-big-event.html
