Shappening 是否意味著 HTTPS 可以被破壞?
多年來,我們一直被警告說 SHA-1 比最初想像的要弱,不應該使用。這在Shappening中達到了頂峰,來自Schneier的專家一直在警告我們應該放棄 SHA-1,否則會發生一些不好的事情。
什麼是實際的“壞事”?一旦攻擊者有能力創建 SHA-1 衝突,他們能做什麼?我對 HTTPS 的機密性和完整性感興趣,但對更廣泛的答案持開放態度。
具體來說,通過為現有網站創建假證書來進行 MITM 攻擊是否可行?這似乎是合理的:攻擊者創建了一個具有相同名稱的假證書,但改變了其他數據以生成與原始證書的 SHA-1 雜湊匹配的 SHA-1 雜湊。
看看為什麼我們需要遷移到 SHA-2,這很好地總結了事情:
雜湊攻擊描述如下,按照攻擊者難度遞增的順序:
碰撞——當有可能找到兩條不同的雜湊值相同的消息時,就會發生碰撞攻擊。針對 CA 的衝突攻擊發生在證書頒發時。在過去針對 MD5 的攻擊中,攻擊者能夠產生一對沖突消息,其中一個代表良性終端實體證書的內容,另一個代表惡意 CA 證書的內容。一旦最終實體證書由 CA 簽名,攻擊者就會重複使用數字簽名來生成欺詐性 CA 證書。然後,攻擊者使用他們的 CA 證書為任何域頒發欺詐性的最終實體證書。可以通過將熵放入證書來減輕碰撞攻擊,這使得攻擊者難以猜測將由 CA 簽名的證書的確切內容。熵通常在證書序列號或有效期中找到。眾所周知,SHA-1 在抗碰撞性方面存在弱點。
第二原像——在第二原像攻擊中,可以找到第二條消息,該消息的雜湊值與給定消息的值相同。這允許攻擊者隨時創建欺詐性證書,而不僅僅是在證書頒發時。SHA-1 目前可以抵抗第二原像攻擊。
原像——原像攻擊是針對散列函式的單向屬性。在原像攻擊中,可以確定散列到給定值的消息。這可能允許密碼攻擊,攻擊者可以根據在數據庫中找到的密碼的雜湊值來確定密碼。SHA-1 目前可以抵抗原像攻擊。
因此,成功的碰撞攻擊確實會破壞 SSL/TLS,就像它對MD5所做的那樣,這就是瀏覽器供應商和 CA 需要轉向不使用 SHA-1 的原因。目前,正如其他地方所指出的,證書所有者遠離 SHA-1 的要求在很大程度上是名譽上的。
SHA1 證書越來越弱,因為計算能力增長到摩爾定律。根據 Jesse Walker 的說法,他粗略地計算了 SHA1 碰撞攻擊的成本:
攻擊的成本大約為:
- 2012 年 277萬美元
- 到 2015 年達到 70萬美元
- 到 2018 年達到 17.3萬美元
- 到 2021 年達到 43,000美元
因此,碰撞攻擊完全在有組織犯罪集團到 2018 年的實際預算範圍內,以及到 2021 年的大學研究項目的預算範圍內。
對於你的問題:
什麼是實際的“壞事”?
實際的“壞事”是今年某個時候,所有主要的瀏覽器供應商(Google、火狐、微軟)都會不信任 sha1 證書。這意味著您的站點/伺服器將被一個大的安全警告阻止,實際上完全不使用 HTTPS 可能比此時使用 SHA1 證書更明智。一些瀏覽器現在已經不再在具有 SHA1 證書的網站上顯示安全鎖圖示。
一旦攻擊者有能力創建 SHA-1 衝突,他們能做什麼?
證書籤名是通過獲取公鑰和附加數據(所有者身份和公用名/SAN)的雜湊值,然後 CA 使用 CA 的私鑰對該雜湊值進行簽名來完成的。
如果您生成兩個具有相同 SHA1 簽名的密鑰對,您可以說服 CA 簽署其中一個公鑰,並且該簽名對另一個密鑰也有效。從那裡開始,將 CA 的簽名植入第二個證書是一件簡單的事情。第二個證書可能用於您實際上無法控制的不同域。