WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Tấn công đụng độ: Hãy ngừng sử dụng thuật toán SHA-1
Theo các nhà nghiên cứu, thuật toán phổ biến SHA-1 rất yếu và có thể bị hacker phá hủy và tấn công trong vòng 3 tháng tới.
Thuật toán SHA-1, do NSA phát triển năm 1995, là một phần trong Thuật toán chữ ký số (Digital Signature Algorithm). Giống như bao hàm băm khác, SHA-1 chuyển đổi dữ liệu đầu vào thành một chuỗi dài số và các ký tự, tương tự vân tay dùng cho dữ liệu.
Giống như dấu vân tay, giá trị băm ứng với một dữ liệu đầu vào là hữu dụng nếu nó là duy nhất. Nếu hai dữ liệu khác nhau được nhập vào cho ra cùng một giá trị băm (gọi là bị đụng độ), hacker có thể tiếp cận các giao dịch ngân hàng, danh sách download phần mềm hoặc thông tin trao đổi qua website.
Tấn công đụng độ trên SHA-1
Các nhà nghiên cứu từ Centrum Wiskunde & Informatica, Inria và Nanyan Technological University công bố SHA-1 có thể trở thành nạn nhân của các cuộc tấn công đụng độ có tên là Freestart Collision.
Tấn công đụng độ xuất hiện khi một giá trị băm (vân tay) được tạo ra từ hai dữ liệu khác nhau. Hàm này có thể bị khai thác để giả mạo các chữ ký số, cho phép tin tặc xâm nhập vào các thông tin đã mã hóa bằng thuật toán SHA-1.
Phá hủy SHA-1 tiêu tốn khoảng 75.000 đến 120.000 USD
Năm 2012, nhà nghiên cứu Bruce Schneier ước tính cần 700.000 USD để tiến hành một cuộc tấn công đụng độ trên SHA-1 trong năm 2015 và đến năm 2018 số tiền này sẽ giảm xuống chỉ còn 173.000 USD.
Tuy nhiên, dựa trên nghiên cứu mới đây, những cuộc tấn công kiểu này có thể được thực hiện trong năm nay với số tiền từ 75.000 đến 120.000 USD nhờ kỹ thuật card đồ họa (graphics-card). Kỹ thuật này, có tên là “boomeranging”, tìm kiếm được các đụng độ SHA-1.
Chuyển sang SHA-2 hoặc SHA-3 trước khi quá muộn
Kết quả nghiên cứu trên thực tế mới chỉ là lý thuyết và có thể chưa gây hậu quả nghiêm trọng ngay, nhưng các nhà nghiên cứu khuyến cáo các quản trị mạng chuyển đổi từ SHA-1 sang những thuật toán an toàn như SHA-2 và SHA-3 càng sớm càng tốt.
Các quản trị mạng nên cân nhắc tác động mà SHA-1 mang đến cho tổ chức của mình và lên kế hoạch cho:
• Phần cứng tương thích với SHA-2/SHA-3
• Cập nhật phần mềm máy chủ hỗ trợ SHA-2/SHA-3
• Hỗ trợ phần mềm client cho SHA-2/SHA-3
• Hỗ trợ mã ứng dụng tùy chỉnh cho SHA-2/SHA-3
SHA-2 cũng do NSA phát triển trong khi SHA-3 do một nhóm nghiên cứu độc lập thiết lập.
Thuật toán SHA-1, do NSA phát triển năm 1995, là một phần trong Thuật toán chữ ký số (Digital Signature Algorithm). Giống như bao hàm băm khác, SHA-1 chuyển đổi dữ liệu đầu vào thành một chuỗi dài số và các ký tự, tương tự vân tay dùng cho dữ liệu.
Giống như dấu vân tay, giá trị băm ứng với một dữ liệu đầu vào là hữu dụng nếu nó là duy nhất. Nếu hai dữ liệu khác nhau được nhập vào cho ra cùng một giá trị băm (gọi là bị đụng độ), hacker có thể tiếp cận các giao dịch ngân hàng, danh sách download phần mềm hoặc thông tin trao đổi qua website.
Tấn công đụng độ trên SHA-1
Các nhà nghiên cứu từ Centrum Wiskunde & Informatica, Inria và Nanyan Technological University công bố SHA-1 có thể trở thành nạn nhân của các cuộc tấn công đụng độ có tên là Freestart Collision.
Tấn công đụng độ xuất hiện khi một giá trị băm (vân tay) được tạo ra từ hai dữ liệu khác nhau. Hàm này có thể bị khai thác để giả mạo các chữ ký số, cho phép tin tặc xâm nhập vào các thông tin đã mã hóa bằng thuật toán SHA-1.
Phá hủy SHA-1 tiêu tốn khoảng 75.000 đến 120.000 USD
Năm 2012, nhà nghiên cứu Bruce Schneier ước tính cần 700.000 USD để tiến hành một cuộc tấn công đụng độ trên SHA-1 trong năm 2015 và đến năm 2018 số tiền này sẽ giảm xuống chỉ còn 173.000 USD.
Tuy nhiên, dựa trên nghiên cứu mới đây, những cuộc tấn công kiểu này có thể được thực hiện trong năm nay với số tiền từ 75.000 đến 120.000 USD nhờ kỹ thuật card đồ họa (graphics-card). Kỹ thuật này, có tên là “boomeranging”, tìm kiếm được các đụng độ SHA-1.
Chuyển sang SHA-2 hoặc SHA-3 trước khi quá muộn
Kết quả nghiên cứu trên thực tế mới chỉ là lý thuyết và có thể chưa gây hậu quả nghiêm trọng ngay, nhưng các nhà nghiên cứu khuyến cáo các quản trị mạng chuyển đổi từ SHA-1 sang những thuật toán an toàn như SHA-2 và SHA-3 càng sớm càng tốt.
Các quản trị mạng nên cân nhắc tác động mà SHA-1 mang đến cho tổ chức của mình và lên kế hoạch cho:
• Phần cứng tương thích với SHA-2/SHA-3
• Cập nhật phần mềm máy chủ hỗ trợ SHA-2/SHA-3
• Hỗ trợ phần mềm client cho SHA-2/SHA-3
• Hỗ trợ mã ứng dụng tùy chỉnh cho SHA-2/SHA-3
SHA-2 cũng do NSA phát triển trong khi SHA-3 do một nhóm nghiên cứu độc lập thiết lập.
Nguồn: The Hacker News