👩🏽‍💼 ✊🏿 🧜🏽 SSH पुस्तकालयों से खतरनाक SHA-1 एल्गोरिथ्म हटाया गया 🦈 👨🏼‍🔧 👖

SHA-1 पर हमलों की जटिलता। कीमत $ 35 / महीने पर एक GTX 1060 के किराये की कीमत की गणना पर आधारित है।

बहुत बाद में अन्य सभी की तुलना में, लेकिन SSH के पुस्तकालयों के डेवलपर्स ने अंततः डिफ़ॉल्ट रूप से पुराने SHA-1 क्रिप्टो फ़ंक्शन को अक्षम करने का निर्णय लिया। आज, सर्वर प्रमाणीकरण कुंजी SHA-1 का चयन, अर्थात, एक चयनित GPU क्लस्टर पर चयनित उपसर्ग के साथ संघर्ष, $ 45 हजार का खर्च आएगा , जैसा कि ऊपर दी गई तालिका में दिखाया गया है। यह हमले को न केवल राज्य की खुफिया सेवाओं के लिए, बल्कि वाणिज्यिक ग्राहकों के लिए भी सुलभ बनाता है।

डिफ़ॉल्ट रूप से SHA-1 को अक्षम करना OpenSSH ओपनएसएसएच ( रिलीज़ नोट्स ) और लिब्ब्श ( कोड परिवर्तन )पुस्तकालयों के डेवलपर्स द्वारा एक साथ घोषित किया गया था।

NIST के सहयोग से NSA द्वारा सिक्योर हैश एलगोरिदम (SHA) विकसित किया गया था। SHA-0 का पहला संस्करण 1993 में पेश किया गया था, लेकिन एनएसए ने जल्द ही इस संस्करण को याद किया, एक त्रुटि का उल्लेख करते हुए उन्होंने पाया कि इसका खुलासा कभी नहीं किया गया था।

एनएसए का एक निश्चित संस्करण 1995 में प्रकाशित हुआ था, इसे SHA-1 कहा जाता था।

SHA-1 (सिक्योर हैश अल्गोरिथम 1) क्रिप्टोग्राफिक हैश फंक्शन हैश डाइजेस्ट नामक 160-बिट स्ट्रिंग उत्पन्न करता है। सैद्धांतिक रूप से, डिग्रियों को फ़ंक्शन के प्रत्येक फ़ाइल, संदेश या अन्य इनपुट के लिए अद्वितीय होना चाहिए। इनपुट मूल्य के रूप में, SHA-1 संदेश को इससे अधिक नहीं स्वीकार करता है

2^{64} - 1

$2^{64}-1$ बिट, यानी लगभग 2 एक्साबाइट्स।

यह स्पष्ट है कि पाचन मूल्यों की सीमा इनपुट मूल्यों की सीमा से छोटी है। लेकिन व्यवहार में, पचाने वाले टकराव संभव नहीं होने चाहिए, मौजूदा कंप्यूटिंग संसाधनों की प्रदर्शन क्षमताओं को देखते हुए। दुर्भाग्य से, SHA-1 अब इस मानदंड को पूरा नहीं करता है।

2017 में, एम्स्टर्डम में Google और सेंटर फॉर मैथमेटिक्स एंड कंप्यूटर साइंस के कर्मचारियों ने SHA-1 के लिए टक्कर उत्पन्न करने का पहला तरीका पेश किया ।

उन्होंने एक सबूत प्रकाशित किया: विभिन्न सामग्रियों के साथ दो पीडीएफ दस्तावेज लेकिन एक ही डिजिटल हस्ताक्षर SHA-1।

  $ls -l sha*.pdf 
  -rw-r--r--@ 1 amichal  staff  422435 Feb 23 10:01 shattered-1.pdf
  -rw-r--r--@ 1 amichal  staff  422435 Feb 23 10:14 shattered-2.pdf
  $shasum -a 1 sha*.pdf
  38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
  38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf

बिखरने वाली वेबसाइट पर, आप किसी भी फाइल की जांच कर सकते हैं कि क्या यह संभव टकरावों के स्थान में शामिल है। यही है, क्या एक ही हैश के साथ एक और डेटा सेट (फ़ाइल) चुनना संभव है। हमला वेक्टर स्पष्ट है: एक हमलावर अपनी कॉपी के साथ एक "अच्छा" फ़ाइल को बुकमार्क, दुर्भावनापूर्ण मैक्रो या ट्रोजन डाउनलोडर के साथ बदल सकता है। और इस "खराब" फ़ाइल में समान हैश या डिजिटल हस्ताक्षर होंगे।

हाल के वर्षों में, कई कार्यक्रमों और सेवाओं ने SHA-1 का उपयोग करना बंद कर दिया है क्योंकि शोधकर्ताओं ने SHA-1 का उपयोग करके डिजिटल हस्ताक्षर नकली करने के व्यावहारिक तरीके दिखाए हैं। विशेषज्ञों की एकमत राय यह है कि यह एल्गोरिथ्म अब लगभग सभी सुरक्षा संदर्भों में सुरक्षित नहीं है।

Google ने लंबे समय से SHA-1 के अपने अविश्वास को व्यक्त किया है, विशेष रूप से टीएलएस प्रमाणपत्रों पर हस्ताक्षर करने के लिए इस सुविधा का उपयोग करते हुए। 2014 में वापस, क्रोम विकास टीम ने SHA-1 से चरणबद्ध की घोषणा की।

2017 में, शोधकर्ताओं ने गणना करने के लिए Google बुनियादी ढांचे का उपयोग किया और टकराव की खोज की सैद्धांतिक गणना की जांच की। डेवलपर्स का कहना है कि यह Google द्वारा किया गया अब तक का सबसे बड़ा कंप्यूटिंग था। कुल मिलाकर, नौ क्विंटल SHA-1 गणना की गई (9,223,372,036,854,775,808), जिन्हें पहले चरण में 6,500 प्रोसेसर वर्ष और दूसरे चरण में 110 वर्षों के GPU को हमले की आवश्यकता थी।

संदेश उसी SHA-1 हैश के साथ ब्लॉक करता है

2019 में, शोधकर्ताओं Gaetan Laurent और थॉमस Peyrin ने एक चुने हुए-उपसर्ग के साथ संघर्ष खोजने पर एक हमले का प्रदर्शन किया, जो विशिष्ट PGP / GnuPG एन्क्रिप्शन कुंजी का चयन करने के लिए व्यावहारिक अर्थ बनाता है। अंत में, जनवरी 2020 में, लेखक परिमाण के एक क्रम से हमले का अनुकूलन करने में सफल रहे और इसकी सैद्धांतिक लागत को व्यावसायिक रूप से स्वीकार्य मूल्य (ऊपर तालिका और पीडीएफ देखें ) को कम किया। प्रदर्शित करने के लिए, उन्होंने समान SHA-1 प्रमाणपत्रों के साथ विभिन्न PGP / GnuPG कुंजियों की एक जोड़ी बनाई।

SHA-1 टकराव खोजने पर हमले के खिलाफ बचाव के रूप में, यह बेहतर क्रिप्टोग्राफिक हैश फ़ंक्शन SHA-256 और SHA-3 पर स्विच करने के लिए अनुशंसित है।

ओपनएसएसएच डेवलपर्स, जिन्होंने नवीनतम रिलीज के लिए नोटों में लिखा था, जनवरी 2020 से इस अध्ययन का हवाला देते हैं: “अब आप 50 हजार अमेरिकी डॉलर से कम के SHA-1 एल्गोरिथ्म का उपयोग करके चयनित उपसर्ग के साथ हमले कर सकते हैं। इस कारण से, निकट भविष्य में हम डिफ़ॉल्ट ssh-rsa सार्वजनिक कुंजी हस्ताक्षर एल्गोरिथ्म को अक्षम कर देंगे। दुर्भाग्य से, यह एल्गोरिथ्म अभी भी व्यापक रूप से उपयोग किया जाता है। बेहतर विकल्पों के अस्तित्व के बावजूद, यह लंबे समय से मूल SSH RFC द्वारा परिभाषित एकमात्र सार्वजनिक कुंजी हस्ताक्षर एल्गोरिथ्म बना हुआ है। ”

सर्वश्रेष्ठ विकल्पों में से, OpenSSH डेवलपर्स ने RFC8332 RSA SHA-2 एल्गोरिदम (OpenSSH 7.2 से समर्थित और पहले से ही डिफ़ॉल्ट रूप से उपयोग किया जाता है, तो सर्वर और ग्राहक इसका समर्थन करते हैं), ssh-ed25519 (6.5 से समर्थित) और RFC5656 ECDSA (संस्करण 5.7 से) का आह्वान किया। ।

यह प्रमाणित करने के लिए कि प्रमाणीकरण के लिए सार्वजनिक कुंजी बनाते समय सर्वर कमजोर SHA-1 एल्गोरिथ्म का उपयोग करता है, ssh-rsa एल्गोरिथ्म को ssh (1) में अनुमत सूची से हटाने के बाद इसे कनेक्ट करने का प्रयास करें :

ssh -oHostKeyAlgorithms=-ssh-rsa user@host

यदि सत्यापन विफल हो जाता है और अन्य प्रकार की कुंजियाँ उपलब्ध नहीं हैं, तो सर्वर सॉफ़्टवेयर को अपडेट किया जाना चाहिए।

OpenSSH के भविष्य के संस्करणों में, UpdateHostKeys विकल्प डिफ़ॉल्ट रूप से सक्षम हो जाएगा, जिसमें ग्राहक स्वचालित रूप से सर्वश्रेष्ठ एल्गोरिदम पर स्विच करेगा। इसे मैन्युअल रूप से सक्रिय किया जा सकता है।

जाहिर है, SHA-1 के पूर्ण बंद में बहुत समय लगेगा। जनवरी इंस्टीट्यूट के सह-लेखकों में से एक, नेशनल इंस्टीट्यूट फॉर रिसर्च इन इंफॉर्मेटिक्स एंड ऑटोमेशन (फ्रांस) के गीतन लॉरेंट, ओपनएसएसएच डेवलपर्स से यह उम्मीद नहीं करते हैं कि वे जल्दी से ऐसा करें: "जब वे पूरी तरह से SHA-1 को अक्षम करते हैं, तो ओपनएसएसएच के नए संस्करण से डिवाइस के साथ पुराने से कनेक्ट करना असंभव होगा। SSH सर्वर, - लिखता हैवह। - शायद, इससे पहले वे क्रमिक चरणों की एक श्रृंखला ले लेंगे (जोर से चेतावनी के साथ)। दूसरी ओर, एसएसएच के साथ एम्बेडेड सिस्टम में जो कई वर्षों से अपडेट नहीं किए गए हैं, संभवतः कई सुरक्षा समस्याएं हैं, इसलिए उनके काम को बाधित करना बहुत बुरा नहीं हो सकता है ... वैसे भी, मैं इस कदम से काफी प्रसन्न हूं, यह वास्तव में हम क्या हासिल करना चाहते थे :-) ”।

OpenSSH और libssh ने SHA-1 को अक्षम करने की योजना की घोषणा करने के बाद, SHA-1 उपयोगकर्ताओं की सूची छोटी हो गई, लेकिन गायब नहीं हुई। यह सुविधा अभी भी ओपनएसएसएल लाइब्रेरी के नवीनतम संस्करणों में समर्थित है, जो कई वेबसाइट और इंटरनेट सेवाएं HTTPS और अन्य एन्क्रिप्शन सिस्टम को लागू करने के लिए उपयोग करती हैं। इस महीने की शुरुआत में जारी GNU कलेक्शन कंपाइलर का नवीनतम संस्करण, डिजिटल रूप से SHA-1 हैश के साथ हस्ताक्षरित है।

लिनुस टोरवाल्ड्सकहा हुआGit रिपॉजिटरी में हैश टकराव एक सुरक्षा जोखिम पैदा नहीं करता है। उन्होंने बताया कि एन्क्रिप्शन सिस्टम में डिजिटल हस्ताक्षरों के लिए एक क्रिप्टोग्राफ़िक हैश का उपयोग करने और गिट जैसी प्रणाली में "सामग्री पहचान" उत्पन्न करने के बीच एक बड़ा अंतर है। जब सभी डेटा सार्वजनिक डोमेन में होते हैं, तो एक वास्तविक हमला लगभग असंभव है। वैज्ञानिक कार्य के लेखक उसी उपसर्ग के साथ दस्तावेजों पर हमले का एक उदाहरण देते हैं। यह हमला सफल है क्योंकि उपसर्ग स्वयं दस्तावेज़ के अंदर "बंद" है, एक बूँद की तरह। यदि हमारे पास भंडार में खुला स्रोत है, तो यह पूरी तरह से अलग मामला है। स्रोत कोड (केवल बूँद से) से ऐसा उपसर्ग करना शायद ही संभव हो। दूसरे शब्दों में, एक समान उपसर्ग बनाने के लिए और फिर उसी SHA-1 हैश के साथ कोड शाखाएं उत्पन्न करने के लिए, आपको कुछ यादृच्छिक डेटा को कोड में इंजेक्ट करना होगा, जिसे तुरंत देखा जाएगा। लिनस कहते हैंऐसी जगहें हैं जहाँ आप डेटा छिपा सकते हैं, लेकिनgit fsckपहले से ही ऐसी चाल पकड़ता है। हालांकि, लिनस की SHA-1 का उपयोग करने से दूर होने की योजना है ताकि किसी को भी अपने रिपॉजिटरी को परिवर्तित न करना पड़े।

SSH पुस्तकालयों से खतरनाक SHA-1 एल्गोरिथ्म हटाया गया

More articles: