عدم امنیت الگوریتم SHA-1 تایید شد

0
118

محققان برای اولین بار موفق به ایجاد فروپاشی در الگوریتم SHA-1 شده‌اند که بر اثر آن دو فایل PDF با Signature یکسان ایجاد شده است.

محققان امنیتی برای اولین بار توانستند الگوریتم SHA-1 را در دنیای واقعی هک کنند، بدین صورت که این Hash Function دو فایل PDF مختلف اما با Signature یکسان ایجاد کرده است. بنابراین به تمامی سازمان‌ها توصیه می‌گردد که استفاده از این الگوریتم را برای کارکردهایی که از حساسیت امنیتی بالایی برخوردار می‌باشد کنار گذارند.

الگوریتم SHA-1 در سال ۱۹۹۵ معرفی گردید و این در حالی است که از سال ۲۰۰۵ آسیب‌پذیری آن نسبت به برخی حملات احتمالی آشکار شد. سازمان امنیت ملی آمریکا از سال ۲۰۱۰ استفاده از این الگوریتم را در سازمان‌های دولتی آمریکا ممنوع اعلام کرده است و شرکت‌های صادر کننده Certificate نیز از سال ۲۰۱۶ حق صدور Certificateهای مبتنی بر الگوریتم SHA-1 را ندارند.

علی‌رغم تلاش‌ها‌ برای کنارگذاری SHA-1 در بسیاری از حوزه‌ها، همچنان به طور گسترده از این الگوریتم در مواردی همچون تایید اعتبار تراکنش‌ کارت‌های اعتباری، اسناد الکترونیکی، Signature‌های PGP/GPG، منابع نرم‌افزاری Open-Source، پشتیبان‌گیری‌ها‌ و به‌روز‌رسانی‌های نرم‌افزاری استفاده می‌گردد.

Hash Function‌هایی همچون SHA-1، به منظور پردازش رشته اطلاعات رمزنگاری‌شده مبتنی ‌بر عدد و حروف استفاده می‌شود که نشان دهنده‌ی داده یا فایل می‌باشند. این فرآیند Digest نامیده شده و می‌تواند به عنوان یک Signature دیجیتال عمل نماید. ضمن آنکه این فرآیند یکطرفه بوده و بازگشت‌پذیر نمی‌باشد.

در صورتی که به دلیل وجود آسیب‌پذیری در یک Hash Function دو فایل متفاوت دارای Digest یکسانی باشند، این Hash Function از نظر اصول رمزنگاری اعتباری نخواهد داشت؛ زیرا ممکن است Fingerprintهای دیجیتالی آن جعلی و غیرقابل‌اطمینان باشد. برای مثال ممکن است که مهاجمان، یک به‌روزرسانی مخرب برای نرم‌افزاری ایجاد نموده باشند و در صورتی که مکانیسم اعتبارسنجی به‌روزرسانی‌ها بر اساس تایید Signature‌های دیجیتال باشد، پذیرفته و اجرا شود.

محققان شرکت CWI نیز با کمک زیرساخت پردازشی قدرتمند گوگل در تلاش بوده‌اند تا با ترتیب دادن یک حمله علیه الگوریتم SHA-1، در عمل شاهد فروپاشی آن باشند. این امر مستلزم پردازش‌هایی با توان ۱۰۱۸*۹ می‌باشد اما با موفقیت به انجام رسید.

طبق گزارش گوگل، این اتفاق یکی از بزرگترین فرآیندهای پردازشی تاکنون به شمار می‌آید که مرحله نهایی را نیز با موفقیت طی نموده است و توان آن را می‌توان معادل ۶۵۰۰ سال پردازش Single-CPU و ۱۱۰ سال پردازش Single-GPU به حساب آورد. این فرآیند برروی زیرساختی به انجام رسیده است که توان لازم برای اجرای برنامه هوش مصنوعی Alphabet’s AlphaGo و سرویس‌هایی مانند Google Photo و Google Cloud را تامین می‌کند.

البته امکان فروپاشی در الگوریتم SHA-1 در دسترس تعداد زیادی از مهاجمان قرار ندارد اما بدون شک در سطح ملی و دولتی قابل انجام است. محققان درنظر ‌دارند ظرف کمتر از سه ماه، کد راه‌اندازی مربوط به این حمله را با اهداف آموزشی در اختیار دیگر محققان قرار دهند.

مرورگر Google Chrome در حال حاضر تمامی گواهی‌های HTTPS‌ تحت Signature‌‌های SHA-1 را ناامن شناسایی می‌کند و این روند در نسخه‌ی ۵۶ این مرورگر آغاز شده است.

David Chismon، مشاور ارشد امنیتی در MWR InfoSecurity، ابراز امیدواری کرده است که فعالیت‌های گوگل در جهت راه‌اندازی حمله علیه SHA-1 موجب شود تا Vendor‌ها و مدیران مسئول زیرساخت‌ها با روشن شدن لزوم آن، به سرعت این الگوریتم را از محصولات و پیکربندی‌های خود کنار بگذارند. علی‌رغم آسیب‌پذیری این الگوریتم، هنوز برخی Vendor‌ها محصولاتی را به فروش می‌رسانند که از الگوریتم‌های Hashing مدرن پشتیبانی نکرده و یا برای این منظور هزینه‌ درخواست می‌کنند. وی همچنین اظهار نگرانی نموده است که پیش از انتقال تمامی ساختار‌ها از این الگوریتم، مهاجمان بتوانند با Exploit کردن این آسیب‌پذیری از آن به نفع خود بهره‌برداری نمایند.

بدون دیدگاه

دیدگاهتان را بنویسید

*