23 februari, 2017
Google har knäckt hash-funktionen SHA-1
Igår meddelade Google att den kryptografiska hash-funktionen SHA-1 har knäckts via omfattande kollisionsattacker. SHA-1 används fortfarande på många ställen trots att nyare hash-funktioner som SHA-2 och SHA-3 har funnits en längre tid.
Utfasningen av SHA-1 har gått långsamt och idag används hash-funktionen fortfarande för att utföra digitala signaturer, verifiera filers integritet och för att skydda exempelvis elektroniska dokument och betalkortstransaktioner. Även PGP och Git använder sig oroväckande nog av SHA-1.
Att SHA-1 slutligen knäcks förvånar få som är insatta eftersom teoretiska attacker mot SHA-1 kunde presenteras redan 2013. Vid det här testet användes enorma datakrafter vilket gjorde det möjligt att knäcka krypteringen.
”This attack required over 9,223,372,036,854,775,808 SHA1 computations. This took the equivalent processing power as 6,500 years of single-CPU computations and 110 years of single-GPU computations.”
Google visar i sitt test att det går att skapa två pdf-filer och erhålla en digital signatur (med hash-funktionen SHA-1) för en av PDF-filerna som kan utnyttjas som en giltig signatur även för den andra pdf-filen. Google exemplifierar även hur en attack skulle kunna gå till för att utnyttja bristen i SHA-1 genom att förklara att en bedragare skulle kunna lura någon att skriva på ett hyresavtal med låg hyra men använda signaturen för ett hyresavtal med högre hyra.
Med tanke på hur stora resurser Google har behövt använda för att knäcka SHA-1 är det lite som tyder på att den attacken har utförts tidigare. Men genom att åskådliggöra att hash-funktionen har brister trycker man nu på för att fler ska börja använda säkrare kryptografiska hash-funktioner som SHA-256 och SHA-3. De populära webbläsarna Chrome och Firefox kommer under början av 2017 att börja flagga sidor som använder sig av SHA-1 som osäkra.
Mer information om The Shattered Attack kan du hitta här!
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel