Google membunuh SHA-1 dengan serangan tabrakan yang berhasil

Ini resmi: Algoritme kriptografi SHA-1 telah "SHAttered." Google berhasil merusak SHA-1. Sekarang apa?

Setelah bertahun-tahun memperingatkan bahwa kemajuan dalam komputasi modern berarti serangan tabrakan yang sukses terhadap SHA-1 sudah dekat, tim peneliti dari Google dan Centrum Wiskunde & Informatica (CWI) di Belanda telah berhasil mengembangkan tabrakan SHA-1 pertama yang berhasil. Secara praktis, SHA-1 tidak boleh diandalkan untuk keamanan praktis.

Fungsi hash kriptografi modern bergantung pada fakta bahwa algoritme menghasilkan hash kriptografi yang berbeda untuk setiap file. Tabrakan hash mengacu pada memiliki dua file terpisah dengan hash yang sama. Fakta bahwa kelemahan kriptografi di SHA-1 membuat sertifikat yang menggunakan algoritma SHA-1 berpotensi rentan terhadap serangan tabrakan sudah diketahui. Institut Standar dan Teknologi Nasional menghentikan penggunaan SHA-1 lebih dari lima tahun lalu, dan para ahli telah lama mendesak organisasi untuk beralih ke algoritme hash yang lebih kuat. Sampai sekarang, satu-satunya hal yang terjadi pada SHA-1 adalah fakta bahwa serangan tabrakan masih mahal dan bersifat teoritis.

Tidak lagi, karena tim peneliti yang dipimpin Google telah mengembangkan metode yang memungkinkan mereka menghasilkan dua file PDF dengan konten berbeda tetapi menghasilkan hash SHA-1 yang sama. Meskipun serangan tabrakan masih mahal, serangan "SHA-1 shattered" tidak lagi bersifat teoretis, yang berarti serangan tersebut berada dalam jangkauan siapa pun yang termotivasi dan dengan kantong yang cukup dalam.

"Kami mulai dengan membuat awalan PDF yang secara khusus dibuat untuk memungkinkan kami menghasilkan dua dokumen dengan konten visual yang berbeda secara sembarangan, tetapi itu akan bercirikan intisari SHA-1 yang sama," tim dari Google dan CWI menulis dalam sebuah posting blog. "Kami dapat menemukan tabrakan ini dengan menggabungkan banyak teknik cryptoanalytic khusus dengan cara yang kompleks dan meningkatkan pekerjaan sebelumnya."

Namun, perlu dicatat bahwa pemalsuan sertifikat digital akan tetap sulit berkat aturan CA / Forum Browser baru yang memerlukan 20 bit keacakan untuk ditambahkan ke nomor seri sertifikat digital.

SHA-1 sudah mati; bertindak sesuai

Pada November, penelitian Venafi menemukan bahwa 35 persen organisasi masih menggunakan sertifikat SHA-1. "Perusahaan-perusahaan ini mungkin juga memasang tanda selamat datang bagi para peretas yang mengatakan, 'Kami tidak peduli dengan keamanan aplikasi, data, dan pelanggan kami'," kata Kevin Bocek, kepala strategi keamanan di Venafi. “Serangan terhadap SHA -1 bukan lagi fiksi ilmiah. "

Meskipun banyak organisasi telah bekerja untuk bermigrasi ke SHA-2 selama setahun terakhir, peralihan tersebut belum 100 persen selesai, yang berarti organisasi yang belum menyelesaikan (atau memulai!) Peralihan mereka sekarang berisiko. Penyerang sekarang memiliki bukti serangan tabrakan yang mungkin, dan di bawah kebijakan pengungkapan Google, kode yang memungkinkan penyerang untuk membuat dokumen PDF ini akan publik dalam 90 hari. Jam terus berdetak.

Browser web Google Chrome mulai menandai situs web yang masih menggunakan sertifikat digital yang ditandatangani dengan SHA-1 sebagai tidak dipercaya pada awal tahun 2017, dan Microsoft serta Mozilla diharapkan untuk mengikutinya dengan Edge dan Firefox. Berdasarkan pedoman terbaru dari CA / Browser Forum, badan utama yang mengatur bagaimana otoritas sertifikat mengeluarkan sertifikat TLS, vendor browser dan CA dilarang menerbitkan sertifikat SHA-1.

Tim peneliti membuat alat online yang memindai tabrakan SHA-1 dalam dokumen di situs web shattered.io. Google telah mengintegrasikan perlindungan ke dalam Gmail dan Google Drive.

Meskipun sejumlah besar organisasi telah memperhatikan peringatan dan memigrasi situs web mereka, banyak yang masih menggunakan SHA-1 untuk menandatangani perangkat lunak secara digital dan untuk memverifikasi tanda tangan digital dan kunci kriptografik untuk infrastruktur non-web seperti pembaruan perangkat lunak, sistem cadangan, dan aplikasi lainnya. Alat kontrol versi juga mengandalkan SHA-1 - Git misalnya "sangat bergantung" pada SHA-1.

"Pada dasarnya adalah mungkin untuk membuat dua repositori GIT dengan hash komit kepala yang sama dan konten yang berbeda, katakanlah kode sumber jinak dan satu pintu belakang," tulis para peneliti di situs shattered.io. "Penyerang berpotensi menyajikan repositori secara selektif ke pengguna yang ditargetkan."

Langit belum runtuh ... belum

Semua yang dikatakan, serangannya masih sulit, dan malware yang dipersenjatai menggunakan SHAttered tidak akan menyerang jaringan dalam semalam. Para peneliti mengatakan menemukan tabrakan itu sulit dan terkadang tampak "tidak praktis". "Kami akhirnya memecahkannya dengan mendeskripsikan masalah ini sebagai masalah matematika itu sendiri," tulis para peneliti.

Tim akhirnya melakukan lebih dari 9 triliun (9.223.372.036.854.775.808) komputasi SHA-1 secara total, yang diterjemahkan menjadi sekitar 6.500 tahun komputasi CPU tunggal untuk menyelesaikan fase pertama serangan, dan 110 tahun komputasi GPU tunggal untuk menyelesaikan fase kedua. Teknik ini masih lebih dari 100.000 kali lebih cepat dari serangan brute force.

Kluster CPU heterogen yang digunakan pada fase pertama dihosting oleh Google dan tersebar di delapan lokasi fisik. Kluster heterogen GPU K20, K40, dan K80 yang digunakan pada fase kedua juga dihosting oleh Google.

Sementara angka-angka itu tampak sangat besar, negara-bangsa dan banyak perusahaan besar memiliki keahlian analisis kripto dan sumber daya keuangan untuk mendapatkan cukup GPU untuk melakukan ini dalam waktu yang wajar, jika mereka benar-benar menginginkannya.

Kembali pada tahun 2015, sekelompok peneliti yang berbeda mengungkapkan metode yang akan membuat biaya pembuatan tabrakan SHA-1 yang sukses menggunakan cloud EC2 Amazon antara $ 75.000 dan $ 120.000. Tim Google memperkirakan bahwa menjalankan fase kedua serangan di Amazon EC2 akan menelan biaya sekitar $ 560.000, tetapi jika penyerang bersabar dan bersedia mengambil pendekatan yang lebih lambat, biayanya turun menjadi $ 110.000, jauh dalam kisaran yang diperkirakan pada tahun 2015.

Apa berikutnya?

Industri tersebut telah mengetahui sejak 2011 bahwa hari ini akan datang, dan sebagian besar vendor mengatakan mereka akan mempercepat rencana penghentian dan tenggat waktu jika serangan yang lebih kuat menjadi kenyataan. NIST telah merekomendasikan setiap orang untuk pindah dari SHA-1 ke SHA-2, seperti CA / Forum Browser. Berharap untuk mendengar garis waktu dan jadwal baru dari vendor besar selama beberapa minggu ke depan dan menggabungkan perubahan yang sesuai ke dalam infrastruktur Anda.

“Kami telah mengetahui bahwa SHA-1 telah berada dalam pengawasan kematian selama bertahun-tahun,” kata Tod Beardsley, direktur penelitian di Rapid7. “Begitu sebuah teknologi menjadi hal biasa di internet, hampir tidak mungkin untuk membasmi itu, bahkan di hadapan banyak bukti ketidakamanannya. Namun, saya belum siap untuk panik atas temuan ini. "

Tetapi SHA-2 memiliki kelemahan matematis yang sama seperti SHA-1, jadi mengapa tidak beralih ke algoritma SHA-3 yang lebih kuat, yang tidak memiliki masalah yang sama? Seperti yang dikatakan Roger Grimes kepada saya, itu bukanlah ide praktis karena beberapa alasan, dan kemungkinan besar akan menyebabkan kesulitan berskala luas dan tantangan operasional. Meskipun NIST telah merekomendasikan pindah ke SHA-3 sejak Agustus 2015, praktis tidak ada sistem operasi atau perangkat lunak yang mendukungnya secara default. Selain itu, SHA-2 tidak dianggap lemah secara operasional seperti SHA-1 karena panjang hashnya lebih panjang, jadi cukup baik untuk digunakan saat ini. Panjang hash SHA-2 berkisar dari 192 bit hingga 512 bit, meskipun 256 bit adalah yang paling umum. Sebagian besar vendor akan mulai menambahkan lebih banyak dukungan SHA-3 dari waktu ke waktu, jadi itu 'Sebaiknya gunakan migrasi ke SHA-2 sebagai kesempatan untuk mempelajari apa yang harus dilakukan untuk migrasi SHA-2-ke-SHA-3 yang tak terhindarkan.

Peringatan itu ada di sana selama ini, dan sekarang waktu untuk peringatan sudah berakhir. Tim TI perlu menyelesaikan migrasi SHA-1 ke SHA-2, dan mereka harus menggunakan berita bahwa serangan tabrakan yang berhasil sekarang dalam jangkauan sebagai palu untuk manajemen gada untuk memprioritaskan proyek.