Cryptografische experts van de Nanyang Technological University, Singapore (NTU Singapore) en het Franse nationale onderzoeksinstituut voor digitale wetenschappen INRIA in Parijs, een kritieke beveiligingsfout hebben aangetoond in een veelgebruikt beveiligingsalgoritme, bekend als SHA-1, waarmee aanvallers specifieke bestanden en de informatie erin kunnen vervalsen, en geef ze door als authentiek.

De onderzoekers zeggen dat het een einde maakt aan het voortdurende debat over het blijven gebruiken van SHA-1 als beveiligingsalgoritme. en ze dringen er bij bedrijven op aan om het snel niet meer te gebruiken.

SHA-1 is een hashfunctie, een bouwsteen in cryptografie die in bijna elk digitaal authenticatieproces wordt gebruikt. Ze ondersteunen de veiligheid van veel digitale toepassingen in internetbankieren, webgebaseerde communicatie, en betalingsportalen van online winkelsites.

De hash-functie neemt een lang invoerbericht en maakt er een korte digitale vingerafdruk voor, een hash-waarde genoemd.

Een hash-functie wordt als veilig beschouwd als het voor een aanvaller moeilijk is om twee verschillende invoer te vinden die tot identieke hash-waarden leiden. Wanneer twee verschillende ingangen dezelfde waarde delen, een "botsing" zou hebben plaatsgevonden.

SHA-1, een hash-functie die in het begin van de jaren negentig door de National Security Agency (NSA) van de Verenigde Staten is ontworpen, in veel software is opgenomen en nog steeds wijdverbreid wordt gebruikt, maar de afgelopen jaren werd de veiligheid van SHA-1 door onderzoekers in twijfel getrokken.

Sinds 2005, een overvloed aan beveiligingsfouten zijn getheoretiseerd en ontdekt in SHA-1. in 2017, academici van het Nederlandse onderzoeksinstituut Centrum Wiskunde &Informatica (CWI) en Google, genereerde de eerste praktische SHA-1 hash-botsing; ze toonden aan dat het mogelijk was om twee verschillende invoerberichten te vinden die dezelfde SHA-1-hashwaarde produceerden.

Deze rekenkundige prestatie omvatte het gebruik van een enorme door Google gehoste grafische verwerkingseenheden (GPU) cluster, maar het stond niet toe dat de invoerberichten naar believen konden worden aangepast.

In mei 2019, NTU's universitair hoofddocent Thomas Peyrin, die doceert in zijn School of Physical and Mathematical Sciences, en INRIA's Dr. Gaëtan Leurent, gebruikte verbeterde wiskundige methoden om de allereerste "chosen-prefix collision attack" voor SHA-1 te bedenken.

Nutsvoorzieningen, met behulp van een cluster van 900 GPU's die twee maanden draaien, het paar heeft met succes aangetoond hoe ze het SHA-1-algoritme kunnen doorbreken met behulp van deze aanval, en hebben de details ervan gepubliceerd in een paper op de e-printsite van de International Association for Cryptologic Research.

Beide onderzoekers presenteerden hun bevindingen ook op het Real World Crypto Symposium in januari van dit jaar in New York City, en waarschuwde dat zelfs als het gebruik van SHA-1 laag is of alleen wordt gebruikt voor achterwaartse compatibiliteit, het zal nog steeds een hoog risico vormen voor gebruikers omdat het kwetsbaar is voor aanvallen. De onderzoekers zeiden dat hun resultaten het belang benadrukken van het zo snel mogelijk volledig uitfaseren van SHA-1.

Hun gekozen prefix-botsing was gericht op een type bestand dat een PGP/GnuPG-certificaat wordt genoemd, dat is een digitaal identiteitsbewijs dat vertrouwt op SHA-1 als hashfunctie.

Onder leiding van NTU Assoc Prof Peyrin, de betekenis van deze demonstratie is dat, in tegenstelling tot de CWI/Google-botsing in 2017, een botsingsaanval met gekozen prefix laat zien hoe het mogelijk zou zijn om specifieke digitale documenten te vervalsen zodat ze een correcte vingerafdruk hebben en als schijnbaar authentiek kunnen worden gepresenteerd met behulp van SHA-1.

Hoewel SHA-1 al geleidelijk wordt uitgefaseerd door de industrie, het algoritme wordt nog steeds in veel toepassingen gebruikt. Nu is het aantoonbaar onveilig en hopen de onderzoekers dat systeemeigenaren snel zullen handelen om het gebruik van het SHA-1-algoritme uit te faseren.

"Chosen-prefix collision attack betekent dat een aanvaller met elk eerste deel van beide berichten kan beginnen, en de rest vrijelijk veranderen, maar de resulterende vingerafdrukwaarden zullen nog steeds hetzelfde zijn, ze zullen nog steeds botsen, " zegt Assoc Prof Peyrin.

"Dit verandert alles op het gebied van dreiging, omdat zinvolle gegevens, zoals namen of identiteiten in een digitaal certificaat, kan nu worden vervalst. We hebben een voorbeeld gegeven van de impact ervan met een succesvolle aanval op een echt systeem, de PGP (Pretty Good Privacy) Web-of-Trust, wat een bekende oplossing voor sleutelcertificering is.

“Als resultaat van ons werk, developers of software packages dealing with digital certificates have in the last few months already applied counter-measures in their last versions, treating SHA-1 as insecure. Our hope is that the publication of our study will further encourage industry to quickly move away from all use of such weak cryptographic functions."

Newer hash functions, such as the SHA-2 family of hash functions devised in 2001, are not affected by the attack.

Assoc Prof Peyrin and his team hope to improve digital security used in other everyday digital products and services:"Moving forward, we will continue to analyze the algorithms that keep our everyday digital applications secure as more services around the world become digitized.

"Our work illustrates the fact that keeping computers secure is not only about developing new cryptographic schemes, but also keeping up with the latest ways to break older schemes. As mathematical and computational methods improve, it is extremely important to discard methods that can no longer be relied upon."

"Cryptanalysis, the art of breaking cryptosystems, is a vital part of the security ecosystem—the more analysis you do on a cryptographic design, the more confidence you will have about deploying and using it in your products and services, " added Assoc Prof Peyrin.