Хто зламав алгоритм SHA1 (і що це означає для Bitcoin)?

Світ криптографії був охоплений новиною про те, що дослідники Google і CWI Amsterdam успішно створення "хеш-колізії" для двох різних документів за допомогою алгоритму шифрування SHA1, що робить алгоритм «зламаним» відповідно до криптографічних стандартів.

Але що це означає простою мовою і які наслідки для мережі Bitcoin ?

Хеш-колізії

Як зазначено в нещодавньому CoinDesk пояснювач, хеш-функція (прикладом якої є SHA1) використовується для отримання фрагмента даних будь-якої довжини, обробки його та повернення іншого фрагмента даних – «хеш-дайджесту» – із фіксованою довжиною.

ONE із способів використання хеш-функцій в обчисленнях є перевірка того, чи вміст файлів є ідентичним: якщо хеш-функція безпечна, то два файли, які хешують до того самого значення, завжди матимуть однаковий вміст.

Однак хеш-колізія виникає, коли два різні файли хешують одне й те саме значення.

Враховуючи математичні закони, які керують хеш-функціями, для деяких значень вхідних даних неминуче виникнуть геш-колізії (оскільки діапазон даних, які ви можете ввести в хеш-функцію, потенційно нескінченний, але довжина виходу фіксована).

Для безпечної хеш-функції ймовірність цього має бути настільки малою, що на практиці неможливо виконати достатню кількість обчислень, щоб її знайти.

Важливість результатів команди Google/CWI полягає в тому, що вони змогли створити геш-колізію, знайшовши набагато ефективніший метод – фактично в 100 000 разів ефективніший – ніж просто вгадування всіх можливих значень даних.

Саме ефективність цього методу означає, що SHA1 тепер офіційно зламано. (Більш детально ці результати викладено на SHAttered.io, з поясненням систем, на які це впливає.)

Нагорода SHA1

23 лютого гострий користувач Redditor на сторінці /r/ Bitcoin опублікував допис, вказуючи на те, що давня винагорода за виявлення саме такого зіткнення SHA1 зараз заявлено.

Нагороду, спрямовану на виявлення вразливостей в алгоритмі, спочатку оголосив дослідник криптографії Пітер Тодд у допис на Bitcoin Talk форуму у вересні 2013 року, але залишався незатребуваним до цього тижня.

Виклик полягав у сценарії, написаному Тоддом, який дозволив би будь-кому перемістити біткойни з адреси баунті на адресу за власним вибором, якщо він міг би надіслати два повідомлення, які не були однаковими за вартістю, але призвели до того самого дайджесту після хешування.

Окрім Тодда, інші Автори також зробили пожертви у фонд баунті, зібравши загалом 2,5 біткойна.

За словами дослідника, час подання претензії – трохи після публікації атаки зіткнення – свідчить про те, що винагороду отримала третя сторона, яка прочитала дослідження команди Google і скористалася результатами, а не ONE із перших дослідників.

Тодд сказав:

«Якби це були самі автори, ми б очікували, що винагорода буде вимагатися безпосередньо перед публікацією оголошення. Як це сталося, це T так».

Наслідки для Bitcoin

Важливо підкреслити, що криптографія, яка лежить в основі мережі Bitcoin , яка використовує більш безпечний алгоритм SHA256, безпосередньо не постраждала від Цікаве.

Але, окрім збагачення одержувача таємничої винагороди, уразливість SHA1 викликає занепокоєння у спільноти розробників Bitcoin , оскільки її система контролю версій Git використовує SHA1 для створення хеш-дайджесту для комітів.

«Наслідки полягають T в тому, що ми повинні негайно припинити використання Git, — сказав Тодд, — але це зробить важливішим переглядати роботу інших людей, оскільки третя сторона може спробувати вставити зловмисне повідомлення».

Уразливість тут полягає в тому, що зловмисник теоретично може створити дві різні версії коміту коду, які виглядатимуть однаковими під час порівняння хеш-значень, хоча наразі, враховуючи величезну кількість обчислень, які ще потрібні для виявлення зіткнення, це малоймовірно.

Окрім SHA1, Тодд розмістив подібні винагороди за RIPE MD160 і хеш-функції SHA256 – обидві вони необхідні для цілісності стандарту Bitcoin , і, отже, будуть згубними для мережі, якщо їх зламано.

Тод зробив висновок:

«Якщо ви претендуєте на цю винагороду, вам краще QUICK витратити свої біткойни».

Двійковий код зображення через Shutterstock