В начале года я рекомендовал обновить SSL/TLS сертификаты, имеющие подпись с алгоритмом SHA-1. Теперь это стало не просто рекомендацией, а предупреждением.
Недавние новости показали — оценка того, что получение коллизии для SHA-1 будет вполне доступно для криминального мира уже к 2018 году, оказалась оптимистичной. Марк Стивенс, Пьер Карпмэн и Томас Пейрин (надеюсь они простят меня за такой перевод их имен) опубликовали статью и пресс-релиз, в которых призывают как можно скорее отказаться от SHA-1. Они показывают, что создание поддельной подписи, основанной на SHA-1 сейчас может стоить около 100$ тыс., что вполне по карману преступному миру, а не 700$ тыс., как рассчитывал на 2015 год известный криптограф Брюс Шнайер.
Оценка стоимости производится на основании прайса Amazon EC2 на графические ядра, ведь именно они наиболее эффективно справляются с задачей подсчета хэша.
Важно отметить, что исследователям удалось получить коллизию в функции внутренней компрессии алгоритма хэширования, так называемая freestart коллизия, когда вектор инициализации может выбираться произвольно. Поэтому, если быть корректным, то полученный результат — не коллизия в SHA-1. Вычисления заняли 10 дней и потребовали непрерывной работы 64 графических ядер. По расценкам Amazon EC2 это примерно 2000$. По расчетам экспертов, полная атака на SHA-1 потребует от 49 до 78 дней работы кластера из 512 графических ядер, что, несомненно, гораздо дороже и дольше, однако срок уже вполне разумный и в некоторых случаях такая атака может достичь целей, преследуемых злоумышленниками.
С учетом того, что эксперты продемонстрировали метод, который напрямую не ведет к получению коллизии SHA-1 в произвольном случае, криптограф Брюс Шнайер заявил:
Не паникуйте, а готовьтесь к будущей панике.
Шаг за производителями операционных систем и браузеров. Они будут вынуждены пересмотреть свои планы на отказ от работы с сертификатами с SHA-1 и скорее помечать все такие сертификаты как небезопасные, поскольку отсчет идет уже не на года, а, возможно, на месяцы.
Возможно уже в ближайшем времени на черном рынке появится услуга поиска коллизий SHA1, а поскольку спрос напрямую зависит от цены и сроков, это может встать на поток и все те, кто не уделил должного внимания безопасности, кто пользуется устаревшим ПО и так далее — окажутся под ударом.