Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Представлена первая в истории коллизионная атака с заданным префиксом на SHA-1

13/05/19

ШАНа прошлой неделе была представлена первая в истории атака поиска коллизий хэш-функций SHA-1 с заданным префиксом, представляющая собой более практичную версию коллизионной атаки на SHA-1, продемонстрированной экспертами Google два года назад. Это значит, что теперь атаки поиска коллизий хэш-функций могут осуществляться с использованием заданных значений и больше не являются случайными. Другими словами, отныне с их помощью злоумышленники смогут создавать дубликаты и подделывать определенные файлы.

Теоретическое описание взлома хэш-функций SHA-1 было опубликовано еще в 2005 году, но на практике осуществить атаку удалось лишь спустя 12 лет. В 2017 году ученым впервые удалось создать два файла с одинаковым хэшем SHA-1. Атака получила название SHAttered.

Криптографы предупреждали, что когда-нибудь алгоритм SHA-1 будет взломан на практике, но SHAttered появилась на три года раньше, чем они предполагали, и стоила намного дешевле – $110 тыс. ушло на аренду облачных вычислительных мощностей.

На прошлой неделе команда специалистов из Франции и Сингапура представила усовершенствованную версию SHAttered. С ее помощью злоумышленник может на свое усмотрение выбирать префикс для двух сообщений, что превращает атаку в серьезную угрозу. Например, атакующий может подделать любой подписанный SHA-1 документ, начиная от деловых бумаг и заканчивая TLS-сертификатами.

Команда исследователей из Франции и Сингапура не только представила атаку в теории, но и протестировала на практике все ее компоненты (правда, пример коллизии с заданным префиксом ученые не представили). Более того, атака обошлась намного дешевле, чем предполагалось. По подсчетам специалистов, на ее осуществление требуется менее $100 тыс. – сумма, вполне вписывающаяся в бюджет финансируемых правительством киберпреступников.

Темы:GoogleУгрозыSHA-1
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...