​Bezpečnostní analytici Gaëtan Leurent a Thomas Peyrin, představili první praktické použití kolizního útoku na hashovací funkci SHA-1. Tento útok v praxi znamená, že potencionální útočník, může vzít existující soubor, ten upravit a pro takto upravený soubor spočítat prefix tak, aby výsledná hash byla shodná jako u původního, originálního souboru. Tento útok byl demonstrován na GPG klíčích (Web of Trust) pro dvě různé identity. Klíče těchto identit měly stejnou SHA-1 hash a umožnovali útočníkovy vydávat se za jinou osobu pomoci falešného klíče. Pro výpočet klíčů, byl použit cluster grafických karet, kde se cena pronájmu výpočetního výkonu pohybovalo kolem 45 tisíc amerických dolarů.

Vzhledem k těmto informacím a ceně, si můžou útok dovolit provést vládní organizace. Proto reálně útok nepředstavuje hrozbu, neboť o tomto problému se již diskutuje delší dobu. První kolizní útok na SHA-1 byl představen již v roce 2017. V tuto chvíli je již valná část organizací v procesu výměny kryptografického systém SHA-1 za novější, například SHA-2. Proto si dovolím tvrdit, že největší finanční dopad, bude zapříčiněn náklady na vývoj nových, nebo úpravu stávajících systémů.

Celou zprávu v angličtině si můžete přečíst na odkazu: https://sha-mbles.github.io/

David Pecl Senior Security Specialist AEC a.s. david.pecl[@]aec.cz