SHA-1
Az SHA-1 (Secure Hash Algorithm 1) az NSA által 1995-ben tervezett igen népszerű kriptográfiai hash-függvény. Az algoritmust 1995-ben tervezte a Nemzeti Biztonsági Ügynökség (NSA) a Digital Signature Algorithm részeként. A többi hash-függvényhez hasonlóan ez a függvény is minden bejövő üzenetet egy olyan fix hosszúságú számokból és betűkből álló karakterlánccá konvertál, amelyek az adott üzenethez tartozó kriptográfiai ujjlenyomatként szolgálnak. Az ütközéses támadások akkor jelentkeznek, amikor két különböző üzenethez ugyanazt a hash értéket (ujjlenyomatot) állítják elő. Ezután ezt az egyezőséget kihasználva digitális aláírásokat lehet létrehozni, lehetővé téve a támadók számára, hogy megtörjék az SHA-1-el kódolt kommunikációt.
A támadásról
A Google és a CWI Institute amszterdami kutatócsoportja 2017. február 23-án bejelentette az első sikeres SHA-1 collision attack-ot. A kutatók már több mint egy évtizede figyelmeztettek az algoritmus biztonságának hiányára, de a hash függvényt továbbra is széles körben használják. 2015 októberében a Marc Stevens vezette kutatócsoport a Centrum Wiskunde & Az Informatica (CWI) Hollandiában egy olyan dokumentumot tett közzé, amely ismertette az SHA-1 ütközés elleni támadásának gyakorlati megközelítését.
Abban az időben a szakértők becslése szerint egy sikeres collision támadás 75 000 és 120 000 dolláros közötti költséggel járt volna az Amazon EC2 cloud számítási teljesítményéből néhány hónapos futással. A Google ugyanazt a kutatócsoportot kereste meg, és velük együtt dolgozott, aminek eredménye a most publikált sikeres ütközéses támadás. A koncepció bizonyítékaként az új kutatás két olyan PDF fájlt tartalmaz, amelyek ugyanazt a hash-t eredményezik, de teljesen eltérő tartalmat mutatnak.
Comments are closed.