ทีมวิจัยสามชาติประเมินการปลอม SHA1 ใช้ทุนเพียง 120,000 ดอลลาร์

by lew
8 October 2015 - 13:06

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

งานวิจัยนี้แสดงความง่ายของการสร้างข้อมูลที่มีค่าแฮชตรงกัน จากฟังก์ชั่น SHA1 compression function โดยคลัสเตอร์ของทีมวิจัยสามารถปลอมค่าแฮชจากฟังก์ชั่นนี้ได้ในเวลาเพียง 10 วัน แม้ว่าจะไม่ได้แสดงการปลอม SHA1 โดยตรง แต่ทีมงานวิจัยก็ระบุว่ากระบวนการปลอมค่าจากฟังก์ชั่นที่นำเสนอแสดงให้เห็นว่าเป็นไปได้ที่จะปลอมค่า SHA1 โดยตรงด้วยต้นทุนที่ต่ำกว่าที่เคยคาดกันมาก

ทีมงานออกแถลงข่าวครั้งนี้เพราะทาง CA Browser Forum กำลังโหวตข้อเสนอให้ยืดอายุใบรับรองที่ใช้ SHA1 ออกไปจนถึงปี 2016 โดยระบุว่าต้นทุน 120,000 ดอลลาร์นั้นถูกพอที่องค์กรอาชญากรรมสามารถหามาได้ไม่ยากนัก หากเป็นหน่วยงานรัฐที่สามารถสร้างศูนย์ข้อมูลของตัวเองได้ ต้นทุนก็จะถูกลงยิ่งกว่านี้อีก

ที่มา - It's the shappening

Blognone Jobs Premium