นักวิจัยจาก Centrum Wiskunde & Information ประเทศเนเธอร์แลนด์, Inria ประเทศฝรั่งเศส และมหาวิทยาลัย Nanyang Technological ประเทศสิงคโปร์ ได้ทำการเผยแพร่งานวิจัยล่าสุดที่ระบุว่า พบช่องโหว่บนฟังก์ชันแฮช SHA-1 ที่ก่อให้เกิดการชนกันของข้อมูล (Collision Attack) เรียกว่า Freestart Collision
Collision Attack ทำลายระบบความปลอดภัย
ฟังก์ชันแฮช SHA-1 ถูกพัฒนาในปี 1995 โดย National Security Agency (NSA) โดยใช้เป็นส่วนหนึ่งของอัลกอริธึม Digital Signature เช่นเดียวกับฟังก์ชันแฮชอื่นๆ SHA-1 จะทำการแปลงข้อมูลอินพุทให้กลายเป็นข้อความที่ประกอบด้วยตัวเลขและตัวอักษรเฉพาะตัว ไม่ซ้ำกัน อย่างไรก็ตาม ถ้าข้อมูลอินพุทที่แตกต่างกัน 2 อันก่อให้เกิดผลลัพธ์ข้อความที่เหมือนกัน เรียกว่าเกิดการชนกันของข้อมูล (Collision) ส่งผลให้แฮ็คเกอร์สามารถใช้การชนกันนี้ในการปลอม Digital Signature เพื่อโจมตีระบบปลอดภัยได้ เช่น ปลอมแปลงข้อมูลธุรกรรมการเงิน ปลอมแปลงไฟล์สำหรับดาวน์โหลด และอื่นๆ
แฮ็ค SHA-1 โดยใช้เงินเพียง $75,000 – $120,000
ในปี 2012 นักวิจัยชื่อดังอย่าง Bruce Shneier ประมาณค่าใช้จ่ายในการโจมตีแบบ Collision Attack บน SHA-1 ไว้ที่ $700,000 แต่จากงานวิจัยล่าสุดระบุว่า สามารถโจมตีได้โดยใช้ค่าใช้จ่ายเพียง $75,000 – $120,000 เท่านั้น ต้องขอบคุณเทคนิคการใช้ Graphics Card แบบใหม่ที่เรียกว่า “Boomeranging” ในการค้นหาการชนกันของข้อมูล
แนะนำให้เปลี่ยนไปใช้ SHA-2 หรือ SHA-3 โดยเร็ว
Freestart Collision เป็นงานวิจัยชิงทฤษฎี จึงไม่ยังส่งผลกระทบต่อการใช้งาน SHA-1 ในทันที แต่คาดว่า SHA-1 จะถูกโจมตีและทำลายภายใน 3 เดือนข้างหน้า แนะนำให้ผู้ดูแลระบบเตรียมเปลี่ยนไปใช้งานฟังก์ชันแฮชที่ปลอดภัยกว่า เช่น SHA-2 หรือ SHA-3 โดยเร็วที่สุด
อ่านงานวิจัยฉบับเต็มได้ที่: https://docs.google.com/viewer?url=https%3A%2F%2Fsites.google.com%2Fsite%2Fitstheshappening%2Fshappening_article.pdf%3Fattredirects%3D0
ที่มา: http://thehackernews.com/2015/10/sha-1-collision-attack.html