image

Centrum Wiskunde & Informatica wil eerder einde van SHA-1

donderdag 8 oktober 2015, 14:27 door Redactie, 9 reacties

Onderzoekers van het Centrum Wiskunde & Informatica (CWI) uit Amsterdam, het Franse inria en de Nanyang Technological University in Singapore willen dat het SHA-1-algoritme eerder wordt uitgefaseerd, omdat het goedkoper en daardoor ook realistischer is geworden om het algoritme aan te vallen.

Hashfuncties zoals SHA-1 worden gebruikt om een unieke fingerprint van data of een bericht te maken.Het wordt gebruikt voor het beveiligen van creditcardtransacties, internetbankieren en de distributie van software. Op dit moment zullen browsers SHA-1-hashes pas in januari 2017 als onveilig markeren, ten gunste van de veilige opvolger SHA-2.

Marc Stevens van het Centrum Wiskunde & Informatica (CWI) uit Amsterdam, Pierre Karpman van inria en Thomas Peyrin van NTU Singapore ramen nu dat vervalste digitale handtekeningen veel eerder kunnen worden gemaakt. "We hebben net met succes de volledige binnenste laag van SHA-1 gebroken. We denken nu dat de state-of-the-art aanval op heel SHA-1, zoals beschreven in 2013, maar ongeveer 100.000 dollar zal kosten aan het huren van grafische kaarten in de cloud", aldus Stevens.

Onderzoek

Op 22 september leidde gezamenlijk onderzoek van Stevens, Karpman en Peyrin tot een succesvolle 'freestart collision attack' op SHA-1. Collisions, verschillende berichten met dezelfde hash, kunnen leiden tot vervalsingen van digitale handtekeningen. Een freestart collision breekt de binnenlaag van SHA-1. "We hebben net laten zien hoe grafische kaarten zeer efficiënt kunnen worden gebruikt voor dit soort aanvallen. Nu kunnen we dit ook gebruiken om een state-of-the-art collision attack voor de complete SHA-1 meer kostenefficiënt te maken", legt Karpman uit.

In 2012 schatte beveiligingsexpert Bruce Schneier dat een volledige SHA-1-aanval in 2015 ongeveer 700.000 dollar zou kosten. Dit bedrag zou dalen tot ongeveer 173.000 dollar in 2018. Op dit moment kost volledige SHA-1-botsing tussen de 75.000 en 120.000 dollar, zo schatten de onderzoekers.

"Dit impliceert dat botsingen nu al binnen de middelen van criminele organisaties vallen, bijna twee jaar vroeger dan werd verwacht, en een jaar voordat SHA-1 als onveilig zal worden gemarkeerd in moderne internetbrowsers. Daarom raden wij aan om op SHA-1-gebaseerde digitale handtekeningen al veel eerder als onveilig aan te merken dan het huidige internationale beleid voorschrijft", aldus de bezorgde onderzoekers.

Reacties (9)
08-10-2015, 14:33 door Anoniem
"We hebben net met succes de volledige binnenste laag van SHA-1 gebroken. We denken nu dat de state-of-the-art aanval op heel SHA-1, zoals beschreven in 2013, maar ongeveer 100.000 dollar zal kosten aan het huren van grafische kaarten in de cloud", aldus Stevens.
Of je laat het gratis doen door een nieuwe cryptovaluta te releasen met hiervoor gemaakt code. Tegenwoordig is toch niet meer elke coin opensource.
08-10-2015, 15:29 door Briolet
Op dit moment zullen browsers SHA-1-hashes pas in januari 2017 als onveilig markeren,

Ik zag in de nieuwe Safari 9.0 browser dat je in het ontwikkelmenu kunt instellen om nu al de SHA-1 certificaten als onveilig weer te geven. (Hij laat dan gewoon het slotje niet meer zien)
08-10-2015, 15:58 door [Account Verwijderd] - Bijgewerkt: 08-10-2015, 15:59
[Verwijderd]
08-10-2015, 15:59 door Anoniem
Standaard regeltje in de automatisering...
Schattingen zijn altijd een factor 10 te veel of te weinig in het nadeel van de persoon met de rekening.

Dus overheid schat kosten van een ICT project op 1 miljoen, dan kost het 10 miljoen.
De banken denken dat het kraken van hun beveiliging 700.000 euro kost, dan kost het maar 70.000.
08-10-2015, 16:45 door Anoniem
Dat kan wel zijn maar als je een vervalst bericht met dezelfde sha-1 hash maakt ziet dat er dan niet heel raar uit? Dat aspect van hash collissions heb ik nooit goed begrepen, misschien dat iemand dat kan uitleggen.
08-10-2015, 18:08 door Anoniem
Het uit kunnen schakelen is iets anders dan het daadwerkelijk doen (leken doen dit dus niet) of de support van het internet.
08-10-2015, 22:11 door Erik van Straten
08-10-2015, 16:45 door Anoniem: Dat kan wel zijn maar als je een vervalst bericht met dezelfde sha-1 hash maakt ziet dat er dan niet heel raar uit?
Bij een bestand met uitsluitend platte tekst hoogstwaarschijnlijk wel. Maar als het niet uitmaakt dat een bestand ietsje langer wordt, kun je bijv. in een PDF bestand, een executable file of een digitaal certificaat eenvoudig "ruimte" maken voor compenserende bytes die zorgen dat de hash weer klopt nadat je een andere, relevante wijziging hebt gemaakt.
09-10-2015, 00:25 door Anoniem
Door Anoniem: Dat kan wel zijn maar als je een vervalst bericht met dezelfde sha-1 hash maakt ziet dat er dan niet heel raar uit? Dat aspect van hash collissions heb ik nooit goed begrepen, misschien dat iemand dat kan uitleggen.
Goede vraag, en je hebt gelijk. Je kan vaak aan het bestand zien dat een collision is geforceerd; je moet er dan natuurlijk wél op controleren.
Stevens heeft hierover een paper gepubliceerd in 2013: https://marc-stevens.nl/research/papers/C13-S.pdf.
09-10-2015, 14:23 door Anoniem
Door Anoniem: Dat kan wel zijn maar als je een vervalst bericht met dezelfde sha-1 hash maakt ziet dat er dan niet heel raar uit? Dat aspect van hash collissions heb ik nooit goed begrepen, misschien dat iemand dat kan uitleggen.

Op zich is dat juist - Als een geldig bericht een heel strak gespecificeerd formaat heeft.

Maar hashes worden op _heel veel_ plaatsen gebruikt, en er is zeker geen garantie dat in alle toepassingen de formattering van het bericht zodanig is dat er geen ruimte is voor een set nonsens data waar de collision gemaakt kan worden tussen twee verschillende berichten .

Specifiek bij SSL certificaten bleek die ruimte voldoende aanwezig om op basis van een MD5 collision een aanval te forceren.

(Een gewoon certificaat en een intermediate root waren als collision gecreerd - na het laten tekenen van het gewone certificaat was de ondertekening ook geldig op de intermediate root versie met zelfde md5 hash ) .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.