Breaking News

พบ Collision Attack บนอัลกอริธึมแฮช ส่อแววจุดจบของ SHA-1

นักวิจัยจาก Centrum Wiskunde & Information ประเทศเนเธอร์แลนด์, Inria ประเทศฝรั่งเศส และมหาวิทยาลัย Nanyang Technological ประเทศสิงคโปร์ ได้ทำการเผยแพร่งานวิจัยล่าสุดที่ระบุว่า พบช่องโหว่บนฟังก์ชันแฮช SHA-1 ที่ก่อให้เกิดการชนกันของข้อมูล (Collision Attack) เรียกว่า Freestart Collision

Collision Attack ทำลายระบบความปลอดภัย

ฟังก์ชันแฮช SHA-1 ถูกพัฒนาในปี 1995 โดย National Security Agency (NSA) โดยใช้เป็นส่วนหนึ่งของอัลกอริธึม Digital Signature เช่นเดียวกับฟังก์ชันแฮชอื่นๆ SHA-1 จะทำการแปลงข้อมูลอินพุทให้กลายเป็นข้อความที่ประกอบด้วยตัวเลขและตัวอักษรเฉพาะตัว ไม่ซ้ำกัน อย่างไรก็ตาม ถ้าข้อมูลอินพุทที่แตกต่างกัน 2 อันก่อให้เกิดผลลัพธ์ข้อความที่เหมือนกัน เรียกว่าเกิดการชนกันของข้อมูล (Collision) ส่งผลให้แฮ็คเกอร์สามารถใช้การชนกันนี้ในการปลอม Digital Signature เพื่อโจมตีระบบปลอดภัยได้ เช่น ปลอมแปลงข้อมูลธุรกรรมการเงิน ปลอมแปลงไฟล์สำหรับดาวน์โหลด และอื่นๆ

แฮ็ค SHA-1 โดยใช้เงินเพียง $75,000 – $120,000

ในปี 2012 นักวิจัยชื่อดังอย่าง Bruce Shneier ประมาณค่าใช้จ่ายในการโจมตีแบบ Collision Attack บน SHA-1 ไว้ที่ $700,000 แต่จากงานวิจัยล่าสุดระบุว่า สามารถโจมตีได้โดยใช้ค่าใช้จ่ายเพียง $75,000 – $120,000 เท่านั้น ต้องขอบคุณเทคนิคการใช้ Graphics Card แบบใหม่ที่เรียกว่า “Boomeranging” ในการค้นหาการชนกันของข้อมูล

freestart_collision_1

แนะนำให้เปลี่ยนไปใช้ SHA-2 หรือ SHA-3 โดยเร็ว

Freestart Collision เป็นงานวิจัยชิงทฤษฎี จึงไม่ยังส่งผลกระทบต่อการใช้งาน SHA-1 ในทันที แต่คาดว่า SHA-1 จะถูกโจมตีและทำลายภายใน 3 เดือนข้างหน้า แนะนำให้ผู้ดูแลระบบเตรียมเปลี่ยนไปใช้งานฟังก์ชันแฮชที่ปลอดภัยกว่า เช่น SHA-2 หรือ SHA-3 โดยเร็วที่สุด

อ่านงานวิจัยฉบับเต็มได้ที่: https://docs.google.com/viewer?url=https%3A%2F%2Fsites.google.com%2Fsite%2Fitstheshappening%2Fshappening_article.pdf%3Fattredirects%3D0

ที่มา: http://thehackernews.com/2015/10/sha-1-collision-attack.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] IBM เปิดให้ใช้ MaaS360 ฟรี 90 วัน โซลูชันที่เข้ามาช่วยตอบโจทย์ WORK FROM HOME สำหรับองค์กร

IBM เปิดให้ใช้ MaaS360 ฟรี 90 วัน !! โซลูชันที่เข้ามาช่วยตอบโจทย์ WORK FROM HOME สำหรับองค์กร ช่วยให้องค์กรสามารถสร้างระบบ File Share …

[Video Webinar] เตรียมความพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย Cisco Security Platform

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Cisco Webinar เรื่อง “เตรียมความพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย Cisco Security Platform” พร้อมแนะนำโซลูชันด้านความมั่นคงปลอดภัยสำหรับ Work from Home …