Esperti di crittografia presso la Nanyang Technological University, Singapore (NTU Singapore) e l'istituto nazionale francese di ricerca per le scienze digitali INRIA a Parigi, hanno dimostrato una falla di sicurezza critica in un algoritmo di sicurezza comunemente usato, noto come SHA-1, che consentirebbe agli aggressori di falsificare file specifici e le informazioni al loro interno, e spacciarli per autentici.

I ricercatori dicono che mette a tacere il dibattito in corso sul continuare a utilizzare SHA-1 come algoritmo di sicurezza, e sollecitano le aziende a passare rapidamente dall'utilizzarlo.

SHA-1 è una funzione hash, un elemento costitutivo della crittografia utilizzato in quasi tutti i processi di autenticazione digitale. Sono alla base della sicurezza di molte applicazioni digitali nell'internet banking, comunicazioni via web, e portali di pagamento di siti di shopping online.

La funzione hash richiede un lungo messaggio di input e crea una breve impronta digitale per esso, chiamato valore hash.

Una funzione hash è considerata sicura se è difficile per un utente malintenzionato trovare due input diversi che portano a valori hash identici. Quando due ingressi diversi condividono lo stesso valore, si dice che si sia verificata una "collisione".

SHA-1, una funzione di hash progettata dalla National Security Agency (NSA) degli Stati Uniti nei primi anni '90 è stata incorporata in molti software e rimane ampiamente utilizzata, ma negli ultimi anni la sicurezza di SHA-1 era stata messa in discussione dai ricercatori.

Dal 2005, una pletora di falle di sicurezza è stata teorizzata e scoperta in SHA-1. Nel 2017, accademici dell'istituto di ricerca olandese Centrum Wiskunde &Informatica (CWI) e Google, ha generato la prima collisione di hash SHA-1 pratica; hanno mostrato che era possibile trovare due diversi messaggi di input che producevano lo stesso valore hash SHA-1.

Questa impresa computazionale prevedeva l'utilizzo di un enorme cluster di unità di elaborazione grafica (GPU) ospitato da Google, ma non permetteva di personalizzare a piacimento i messaggi di input.

A maggio 2019, Il Professore Associato della NTU Thomas Peyrin, che insegna nella sua Scuola di Scienze Fisiche e Matematiche, e il dottor Gaëtan Leurent dell'INRIA, ha utilizzato metodi matematici migliorati per ideare il primo "attacco di collisione con prefisso scelto" per SHA-1.

Ora, utilizzando un cluster di 900 GPU in esecuzione per due mesi, la coppia ha dimostrato con successo il suo modo di violare l'algoritmo SHA-1 usando questo attacco, e ne ho pubblicato i dettagli in un articolo sul sito di e-print della International Association for Cryptologic Research.

Entrambi i ricercatori hanno anche presentato i loro risultati al Real World Crypto Symposium nel gennaio di quest'anno a New York City, e ha avvertito che anche se l'uso di SHA-1 è basso o utilizzato solo per compatibilità con le versioni precedenti, rappresenterà comunque un rischio elevato per gli utenti poiché è vulnerabile agli attacchi. I ricercatori hanno affermato che i loro risultati evidenziano l'importanza di eliminare completamente SHA-1 il prima possibile.

La loro collisione con il prefisso scelto mirava a un tipo di file chiamato certificato PGP/GnuPG, che è una prova di identità digitale che si basa su SHA-1 come funzione di hash.

Guidato da NTU Assoc Prof Peyrin, il significato di questa dimostrazione è che, a differenza della collisione CWI/Google del 2017, un attacco di collisione con prefisso scelto mostra come sarebbe possibile falsificare documenti digitali specifici in modo che abbiano un'impronta digitale corretta e potrebbero essere presentati come apparentemente autentici utilizzando SHA-1.

Sebbene SHA-1 sia già progressivamente eliminato dall'industria, l'algoritmo è ancora utilizzato in molte applicazioni. Ora è dimostrabilmente insicuro e i ricercatori sperano che i proprietari del sistema si spostino rapidamente per eliminare gradualmente l'uso dell'algoritmo SHA-1.

"Attacco di collisione con prefisso scelto significa che un utente malintenzionato può iniziare con qualsiasi prima parte per entrambi i messaggi, e alterare liberamente il resto, ma i valori delle impronte digitali risultanti saranno sempre gli stessi, si scontreranno ancora, "dice Assoc Prof Peyrin.

"Questo cambia tutto in termini di minaccia perché dati significativi, come nomi o identità in un certificato digitale, ora può essere contraffatto. Abbiamo fornito un esempio del suo impatto con un attacco riuscito a un sistema reale, il Web-of-Trust PGP (Pretty Good Privacy), che è una nota soluzione di certificazione delle chiavi.

"Come risultato del nostro lavoro, developers of software packages dealing with digital certificates have in the last few months already applied counter-measures in their last versions, treating SHA-1 as insecure. Our hope is that the publication of our study will further encourage industry to quickly move away from all use of such weak cryptographic functions."

Newer hash functions, such as the SHA-2 family of hash functions devised in 2001, are not affected by the attack.

Assoc Prof Peyrin and his team hope to improve digital security used in other everyday digital products and services:"Moving forward, we will continue to analyze the algorithms that keep our everyday digital applications secure as more services around the world become digitized.

"Our work illustrates the fact that keeping computers secure is not only about developing new cryptographic schemes, but also keeping up with the latest ways to break older schemes. As mathematical and computational methods improve, it is extremely important to discard methods that can no longer be relied upon."

"Cryptanalysis, the art of breaking cryptosystems, is a vital part of the security ecosystem—the more analysis you do on a cryptographic design, the more confidence you will have about deploying and using it in your products and services, " added Assoc Prof Peyrin.