Attacco ‘Shambles’ contro SHA-1

10/01/2020

SHA-1

I ricercatori G. Leurent e T. Peyrin sono stati in grado di riprodurre con successo un attacco di collisione con prefisso scelto, riuscendo a generare la prima collisione di questo tipo ai danni della funzione di hash basata su SHA-1.

Una funzione crittografica di hash riceve in ingresso dei dati di lunghezza arbitraria per produrre una stringa di lunghezza fissa detta valore di hash o digest. Un qualunque minimo cambiamento del messaggio produce quindi un risultato diverso. Il valore di hash deve poter essere calcolato velocemente senza mai poter risalire al messaggio originale partendo dal digest. Altra condizione è che a due differenti messaggi non può corrispondere lo stesso valore di hash a meno di una collisione.
In dettaglio, tramite lo sviluppo di uno specifico exploit, i ricercatori hanno prodotto una collisione compromettendo così la sicurezza di questa funzione di hash. Secondo quanto riportato nella ricerca, l’attacco recentemente riprodotto è meno complesso e più economico rispetto a quelli condotti in precedenza: basti pensare che mentre ad inizio dell’anno 2019 occorrevano circa 74.000 dollari, oggi invece, grazie all’ottimizzazione del software ed all’hardware più economico, il costo è sceso a 45.000 dollari e la previsione di spesa per il 2025 si stima essere di 10.000 dollari.

L’attacco ha pericolose e concrete implicazioni per tutti quei software che utilizzano questa funzione che, pur essendo fra le meno sicure a disposizione, viene utilizzata per firmare certificati HTTPS, per verificare l’integrità di file, per conservare credenziali e per gestire alcune funzionalità dei repository di codice.

Un attacco di questo tipo potrebbe consentire ad un utente malintenzionato di impersonare un utente legittimo, ad esempio creando una chiave PGP identica alla chiave della vittima. Ciò consentirebbe quindi all’attaccante di intercettare le comunicazioni e-mail, eseguire un attacco di tipo man-in-the-middle, dirottare sessioni e altro. Gli stessi ricercatori hanno inoltre evidenziato che l’attacco potrebbe avere potenziali conseguenze per gli utenti che utilizzano GnuPG e OpenSSL. Proprio grazie alle iniziative di divulgazione (Responsible Disclosure) intraprese dai ricercatori, gli sviluppatori di GnuPG hanno già implementato delle contromisure mentre gli sviluppatori di OpenSSL stanno prendendo in considerazione la rimozione del supporto per SHA-1.
L’attacco è stato ribattezzato “Shambles“, proprio per sottolineare lo stato in cui ora riversa la reputazione di questa funzione di Hash al fine di limitarne e riconsiderarne l’utilizzo.

Conclusioni

Negli ultimi anni, molti fornitori di sistemi operativi e browser, tra cui Google e Microsoft, hanno iniziato a considerare deprecato il supporto per l’algoritmo SHA-1. Stando a questa nuova ricerca emerge che tutti gli attacchi che in pratica possono affliggere la funzione hash MD5 ora impattano anche l’algoritmo SHA-1 rendendo più concreto il rischio di abuso per i certificati o per l’autenticazione dei messaggi di handshake in TLS o SSH. In altre parole è bene considerare di rimpiazzare il più presto possibile lo SHA-1 a favore dei più sicuri SHA-256 o SHA-3 (una volta standardizzato).

Taggato  SHA-1