Auteur Sujet: La résistance de SHA-1 aux collisions est plus menacée que jamais  (Lu 9271 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
This website contains latest news and background information regarding the SHA-1 freestart collision work from Marc Stevens (CWI, the Netherlands), Pierre Karpman (Inria, France and NTU Singapore) and Thomas Peyrin (NTU Singapore).

(...)

We recommend that SHA-1 based signatures should be marked as unsafe much sooner than prescribed by current international policy. Even though freestart collisions do not directly lead to actual collisions for SHA-1, in our case, the experimental data we obtained in the process enable significantly more accurate projections on the real-world cost of actual collisions for SHA-1, compared to previous projections. Concretely, we estimate the SHA-1 collision cost today (i.e., Fall 2015) between 75K$ and 120K$ renting Amazon EC2 cloud computing over a few months. By contrast, security expert Bruce Schneier previously projected (based on calculations from Jesse Walker) the SHA-1 collision cost to be ~173K$ by 2018. Note that he deems this to be within the resources of a criminal syndicate. Large corporations and governments may possess even greater resources and may not require Amazon EC2. Microsoft, Google and Mozilla have all announced that their respective browsers will stop accepting SHA-1 based SSL certificates by 2017 (and that SHA-1-based certificates should not be issued after 2015). In conclusion, our estimates imply SHA-1 collisions to be now (Fall 2015) within the resources of criminal syndicates, two years earlier than previously expected and one year before SHA-1 will be marked as unsafe in modern Internet browsers. This motivates our recommendations for industry standard SHA-1 to be retracted as soon as possible. With our new cost projections in mind, we strongly and urgently recommend against a recent proposal to extend the issuance of SHA-1 certificates with a year in the CAB/forum (discussion closes October 9 2015, vote closes October 16).

Marc Stevens is supported by the Netherlands Organization for Scientific Research Veni Grant 2014.
Pierre Karpman and Thomas Peyrin are supported by the Singapore National Research Foundation Fellowship 2012 (NRF-NRFF2012-06).
Pierre Karpman is also supported by the Direction Générale de l'Armement.

https://sites.google.com/site/itstheshappening/

Cryptology ePrint Archive: Report 2015/967

Freestart collision on full SHA-1

Marc Stevens and Pierre Karpman and Thomas Peyrin

Abstract: We present in this article a freestart collision example for SHA-1, i.e., a collision for its internal compression function. This is the first practical break of the full SHA-1, reaching all 80 out of 80 steps, while only 10 days of computation on a 64 GPU cluster were necessary to perform the attack. This work builds on a continuous series of cryptanalytic advancements on SHA-1 since the theoretical collision attack breakthrough in 2005. In particular, we extend the recent freestart collision work on reduced-round SHA-1 from CRYPTO 2015 that leverages the computational power of graphic cards and adapt it to allow the use of boomerang speed-up techniques. We also leverage the cryptanalytic techniques by Stevens from EUROCRYPT 2013 to obtain optimal attack conditions, which required further refinements for this work.

Freestart collisions, like the one presented here, do not directly imply a collision for SHA-1. However, this work is an important milestone towards an actual SHA-1 collision and it further shows how graphics cards can be used very efficiently for these kind of attacks. Based on the state-of-the-art collision attack on SHA-1 by Stevens from EUROCRYPT 2013, we are able to present new projections on the computational/financial cost required by a SHA-1 collision computation. These projections are significantly lower than previously anticipated by the industry, due to the use of the more cost efficient graphics cards compared to regular CPUs.

We therefore recommend the industry, in particular Internet browser vendors and Certification Authorities, to retract SHA-1 soon. We hope the industry has learned from the events surrounding the cryptanalytic breaks of MD5 and will retract SHA-1 before example signature forgeries appear in the near future. With our new cost projections in mind, we strongly and urgently recommend against a recent proposal to extend the issuance of SHA-1 certificates with a year in the CAB/forum (vote closes October 9 2015).

Category / Keywords: public-key cryptography / SHA-1, hash function, cryptanalysis, freestart collision, GPU implementation

Date: received 8 Oct 2015

https://eprint.iacr.org/2015/967

COMMENTAIRE

On savait que ça nous menaçait, qu'il fallait basculer vers des fonction de compression plus robustes... mais certains rétrogrades traînent des pieds.

Snickerss

  • Expert Free + Client Bbox fibre FTTH
  • Modérateur
  • *
  • Messages: 4 823
  • Mes paroles n'engagent que moi :)
    • BlueSky
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #1 le: 24 décembre 2015 à 03:53:09 »
Beaucoup en sont conscients. Le NIST a choisi quel remplaçant au fait ? Je m'étais arrêté quand il restait encore une poignée de candidat. (Si ils ont choisi d'ailleurs, c'est peut être encore en cours)

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #2 le: 24 décembre 2015 à 08:43:04 »
SHA-256 pour Windows

La seule modification de Firefox 43.0.1 est justement d'abandonner SHA-1 : => https://www.mozilla.org/en-US/firefox/43.0.1/releasenotes/
Microsoft arrête le support de SHA-1 au 1er janvier 2016.

Par contre ce n'est pas compatible avec Windows XP SP2 (ok avec Windows XP SP3).
Mozilla assurant toujours des mises à jour de Firefox pour Windows XP SP2, je ne sais pas comment ils vont contourner le pb pour que l'installation fonctionne sous Win XP SP2.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #3 le: 24 décembre 2015 à 13:26:32 »
SHA-256 pour Windows

La seule modification de Firefox 43.0.1 est justement d'abandonner SHA-1 : => https://www.mozilla.org/en-US/firefox/43.0.1/releasenotes/
Microsoft arrête le support de SHA-1 au 1er janvier 2016.

Par contre ce n'est pas compatible avec Windows XP SP2 (ok avec Windows XP SP3).
Mozilla assurant toujours des mises à jour de Firefox pour Windows XP SP2, je ne sais pas comment ils vont contourner le pb pour que l'installation fonctionne sous Win XP SP2.
Ils parlent de la signature des binaires. Ce n'est pas indispensable pour qu'un programme fonctionne, même si bien sûr c'est préférable du point de vue sécurité.

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #4 le: 24 décembre 2015 à 14:14:31 »
Avoir une collision n'est pas suffisant : il faut encore que la collision trouvé soit valide

Pour des images par exemple, c'est plus facile : il y a plein de données "peu ou pas visible" qui peuvent être donc modifiées pour obtenir une collision
Avec des certificats, il faut que la collision soit un certificat valide


corrector

  • Invité
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #5 le: 25 décembre 2015 à 02:27:20 »
Avoir une collision n'est pas suffisant : il faut encore que la collision trouvé soit valide

Pour des images par exemple, c'est plus facile : il y a plein de données "peu ou pas visible" qui peuvent être donc modifiées pour obtenir une collision
Avec des certificats, il faut que la collision soit un certificat valide
Avec n'importe quel format complexe (HTML, PDF, PS, executable...) tu as plein de place pour du rembourrage sans fonction.

Obtenir une collision ne suffit pas évidemment, il faut une collision entre deux jumeaux dont un est maléfique. Il faut donc que les deux textes soient bien formés par rapport à une norme et que l'un inspire confiance.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #6 le: 24 février 2017 à 10:40:45 »
it's done!

Google a cassé SHA-1:

http://shattered.io/ (démo de 2 documents pdf ayant le meme SHA-1).

https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html

On aura les détails dans 90 jours après le délai usuel pour rendre public ce genre de chose.

On suspect la NSA d'avoir fait cela avant Google mais comme la NSA ne communique pas sur ce genre de chose ...

TroniQ89

  • @TroniQ89
  • Abonné Free adsl
  • *
  • Messages: 743
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #7 le: 24 février 2017 à 11:48:11 »
Mes frères, SHA-1 est déprécié et cassé, réutilisez et vénérez le Saint RC4.

Electrocut

  • Abonné Orange Fibre
  • *
  • Messages: 512
  • Pont-Péan (35)
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #8 le: 24 février 2017 à 14:13:04 »
Ce n'est pas encore à la portée du premier venu ;)

Citer
6,500 years of CPU computation to complete the attack first phase
110 years of GPU computation to complete the second phase

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #9 le: 24 février 2017 à 14:14:11 »
Autrement dit, peanuts :)

Multiprocess dude;

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #10 le: 24 février 2017 à 19:53:30 »
La collision avec les deux fichiers démo :

$ sha1sum shattered-?.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf

$ md5sum shattered-?.pdf
ee4aa52b139d925f8d8884402b0a750c  shattered-1.pdf
5bd9d8cabc46041579a311230539b8d1  shattered-2.pdf

$ sha256sum shattered-?.pdf
2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0  shattered-1.pdf
d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff  shattered-2.pdf

corrector

  • Invité
La résistance de SHA-1 aux collisions est plus menacée que jamais
« Réponse #11 le: 24 février 2017 à 21:46:38 »
Mes frères, SHA-1 est déprécié
STOP!

Merci de ne pas dire ce genre de choses! Les cuistres vont la recopier et me ressortir et il faudra que j'explique à des gens qui ne connaissent pas le millième de ce que je sais que non, l'usage de SHA1 dans le code de SMF n'est pas devenu une vulnérabilité aujourd'hui et que oui, face à moi ils feraient mieux de la boucler (been there, done that concernant MD5).

L'usage de SHA1 pour l'authentification par signature numérique est déprécié, et de façon générale l'usage pour comparer des fichiers est déprécié.

L'usage de SHA1 pour protéger les mots de passe n'est moins sûr aujourd'hui qu'hier.