SHA-1

Dødsstøtet for SHA-1: Google har cracket mye brukt kryptoalgoritme

Mye datakraft gikk med for å knekke den allerede utdaterte algoritmen.

Verdens første SHA-1-kollisjon er et faktum. Det betyr at en allerede usikker hash-algoritme har utspilt sin rolle. Illustrasjonsfoto.
Verdens første SHA-1-kollisjon er et faktum. Det betyr at en allerede usikker hash-algoritme har utspilt sin rolle. Illustrasjonsfoto. Bilde: Colourbox
24. feb. 2017 - 14:50

SHA-1 er en svært utbredt hash-algoritme brukt til kryptografisk sikring og bekreftelse av identitet.

Standarden har vært regnet som upålitelig i flere år. Mange aktører har for lengst begynt å fase ut støtten til fordel for sikrere alternativer.

I går kom det endelige dødsstøtet da Google og forskere ved universitetet CWI i Amsterdam kunngjorde verdens første SHA-1-kollisjon.

– Våre resultater beviser at store deler av bransjens utfasing av denne algoritmen har gått for sakte. En overgang til tryggere standarder bør skje snarest mulig, sier universitetets kryptoanalytiker Marc Stevens i en uttalelse.

Fem forskere står bak arbeidet. Den nevnte Marc Stevens og hans kollega Pierre Karpman, begge fra Centrum Wiskunde & Informatica i Amsterdam, samt de tre Google-ansatte Ellie Bursztein, Ange Albertini og Yarik Markov.

Ikke brute force

Det ligger mye arbeid og ikke minst – enormt med regnekraft – bak dette gjennombruddet.

Regnekraft tilsvarende 100 års beregninger fra én enkelt grafikkprosessor (GPU) eller 6 500 år med en moderne hovedprosessor (CPU) har gått med. 

Det er likevel ikke bare brukt såkalt «brute force» for å knekke algoritmen, for det ville tatt 100 000 ganger lenger tid, heter det i rapporten.

Google vil vente med å gi en nærmere beskrivelse av knekkeprosessen om 90 dager i tråd med selskapets retningslinjer for slikt. Straks konseptbeviset blir kjent vil alle med nok datakraft kunne gjøre det samme. Algoritmen vil da være stemplet som usikker og utdatert en gang for alle, skriver The Verge.

Kollisjon

Kåre Presttun er seniorkonsulent i sikkerhetsfirmaet Mnemonic.
Kåre Presttun er seniorkonsulent i sikkerhetsfirmaet Mnemonic.

Google beskriver selv prosessen, der de har fått laget to ulike PDF-dokumenter med ulikt innhold, som begge har fått samme hash-verdi selv om de er signert med SHA-1. De har oppnådd en såkalt kollisjon. Det er kort fortalt noe som aldri bør oppstå med bruk av sikre hash-algoritmer.

– De har funnet fram til en praktisk metode for å knekke SHA-1, sier sikkerhetsekspert Kåre Presttun i Mnemonic til digi.no.

Falske kontrakter

Forskernes bevis kommer altså i form av to dokumenter med forskjellig innhold, men lik hashverdi. Tilliten til krypteringsalgoritmen er revet vekk en gang for alle. Hvis noe er signert med SHA-1 kan du ikke lenger være trygg på om det er ekte eller en forfalskning.

– Det betyr at de kan signere et dokument med digital signatur, og så kan de lage et annet dokument som tilfredsstiller samme signatur. Du kan lage en kontrakt signert med SHA-1, og så kan du lage en annen kontrakt med et annet pengebeløp som vil passe samme signatur, sier Presttun.

Bransjen har lenge visst om og advart om at SHA-1 har kollisjoner, men det har ikke vært bevist før nå.

– De (Google) har brukt mye prosessorkraft for å få til dette, men de har i hvert fall funnet en metode som gjør det mulig, fortsetter seniorkonsulenten som har jobbet med IT-sikkerhet siden 1980.

– Seriøse utstedere har gått videre

Web- og SSL/TLS-sertifikater signert med SHA-1 vil raskt bli stemplet som usikre. I likhet med en annen mye brukt hashalgoritme, MD5 som for lengst er stemplet som ubrukelig, er det på høy tid å bytte til noe sikrere. SHA-256, for eksempel.

– Den er så vidt man vet sikker, men det trodde man med SHA-1 for noen år siden også. Det viktige nå er at det er demonstrert at det er praktisk mulig å forfalske ting som er hashet med SHA-1 og signert. Det kan være et websertifikat, et dokument, en kontrakt eller hva som helst, sier han.

Hvis det koster noen millioner kroner i datakraft å forfalske innhold beskyttet med SHA-1, så er det bare et spørsmål om hvor mye det er å vinne på å forfalske noe, som blir avgjørende.

– Alle seriøse sertifikatutstedere har allerede gått over til sikrere hashalgoritmer som SHA-256 mener Presttun.

– Først og fremst en påminnelse

Kim D. Engebretsen er informasjonssikkerhetsjef i Nagarro (tidligere Conduct). Han tar nyheten om SHA-1-kollisjonen først og fremst imot som en påminnelse om at det er på høy tid å fase ut algoritmen.

– Det er allerede i gang ved sperring av SSL-sertifikater som bruker SHA-1 fra Google Chrome og andre nettlesere.

Engebretsen mener det sannsynligvis fortsatt vil gå en god stund til vi vil se praktiske angrep på SHA-1, som drastisk endrer kildekode og klarer beholde samme kalkulert SHA-1 verdi.

Av den grunn mener han at nyheten er mindre alvorlige enn det som tidligere har kommet fram av sårbarheter knyttet til OpenSSL, som Heartbleed og Shellshock.

Sammenfattet gir han følgende råd: 

– Pass på hvordan SHA-1 er i bruk. Ved eksponering som i SSL-sertifikater er det mye viktigere å styrke sikkerheten enn innad i et eldre dokumenthåndteringssystem som er godt beskyttet under mange andre lag med sikkerhet. Som alltid gjelder det å bygge sikkerhet i lag, med samspill av flere komponenter og teknologi, og aldri tenk at ett godt tiltak vil frita deg fra å implementere sikkerhet helhetlig, sier Kim D. Engebretsen til digi.no.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.