SHAttered - SHA-1 murrettu

Google kumppaneineen keksi tavan tuottaa kahdelle eri PDF:lle sama SHA-1-summa nopeammin, kuin raa’an voiman menetelmällä.

• https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html
• https://shattered.io/
• Tutkimuspaperi: https://shattered.io/static/shattered.pdf

Sivulta löytyy kaksi eri PDF-tiedostoa, jotka tuottavat saman SHA-1-summan, joita voi itse testailla omalla tietokoneella.

$ sha1sum shattered-*
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-1.pdf
38762cf7f55934b34d179ae6a4c80cadccbb7f0a  shattered-2.pdf
$ sha256sum shattered-* 
2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0  shattered-1.pdf
d4488775d29bdef7993367d541064dbdda50d383f89f0aa13a6ff2e0894ba5ff  shattered-2.pdf

90 päivän päästä Google julkaisee ohjelman, jolla voi itse kokeilla generoida PDF-tiedostoja, joilla on sama tarkistussumma. Nyt kannattaa viimeistään siirtyä SHA-2:n tai mieluummin jopa SHA-3:n käyttäjäksi.

SVN-repositorion voi korruptoida lisäämällä kaksi saman summan tuottavaa tiedostoa siihen.

Oho, vähän huono sanavalinta. Ei tuota nyt ihan kotikoneen laskentatehoilla vielä toteuteta.