Google is er net in geslaagd SHA-1-codering te doorbreken. Google slaagde erin een pdf te wijzigen zonder de SHA-1-hashwaarde te wijzigen. Dit type botsing kan mensen dwingen te geloven dat het gewijzigde document het origineel was.
Google heeft zojuist de allereerste succesvolle SHA-1-botsingsaanval bereikt
Het kostte de onderzoekers en Google twee jaar hard werken en onderzoek om de SHA-1-codering te doorbreken. Laat me je vertellen over SHA-1-codering. SHA staat voor Secure Hash Algorithm. Het is een cryptografische hashfunctie die is ontworpen door de National Security Agency (NSA) van de Verenigde Staten en dit algoritme werd voor het eerst gepubliceerd in 1995.
Welnu, SHA-1-codering wordt gebruikt voor HTTPS-certificaten die nu worden gebruikt voor het beschermen van uw browsegeschiedenis en in Git-repositories. SHA-1-codering wordt gebruikt om te bewijzen dat de gegevens, of het nu een e-mail, wachtwoorden, pdf’s of andere inloggegevens zijn, niet door de hacker zijn aangetast.
Het meest gruwelijke is dat Google er net in is geslaagd om al deze feiten verkeerd te zetten door een hash-botsing te creƫren. Google slaagde erin een pdf te wijzigen zonder de SHA-1-hashwaarde te wijzigen. Dit type botsing kan mensen dwingen te geloven dat het gewijzigde document het origineel was.
Google op zijn beveiligingsblog schreef: āVandaag, 10 jaar nadat SHA-1 voor het eerst werd geĆÆntroduceerd, kondigen we de eerste praktische techniek aan voor het genereren van een botsing. Dit is de bekroning van twee jaar onderzoek dat voortkwam uit een samenwerking tussen het CWI Instituut in Amsterdam en Google.ā
De hele inspanning was alleen om de technische gemeenschap te laten zien dat SHA-1-codering nu niet veiliger is. Al heeft Google jarenlang altijd SHA-1 afgeschreven, vooral als het gaat om het ondertekenen van TLS-certificaten. Zelfs Google Chrome heeft het gebruik van SHA-1 sinds 2014 langzaam uitgefaseerd.
Google-beveiligingsblog schreef: “We hopen dat onze praktische aanval op SHA-1 ervoor zal zorgen dat het protocol niet langer als veilig moet worden beschouwd” en adviseerde de industrie om over te stappen op het veiligere alternatief zoals SHA-256.

Nou, nu denken jullie misschien allemaal hoe Google de allereerste SHA-1 Hash-botsing demonstreerde? Google had twee verschillende PDF-bestanden gemaakt met dezelfde SHA1-hash en vervolgens zijn cloudinfrastructuur gebruikt om de botsing met een computer te voorkomen. Laat me je vertellen dat Google de botsing had berekend, wat een van de grootste berekeningen is die ooit is voltooid.
Volgens Google Security Blog zijn hier enkele cijfers die een idee geven van hoe grootschalig deze berekening was:
- Negen triljoen (9.223.372.036.854.775.808) SHA1-berekeningen in totaal
- 6.500 jaar CPU-berekening om de eerste fase van de aanval te voltooien
- 110 jaar GPU-berekening om de tweede fase te voltooien

Google had zelfs gezegd dat ze de code na 90 dagen zouden vrijgeven. “Volgens Google’s beleid voor openbaarmaking van kwetsbaarheden, zullen we 90 dagen wachten voordat we code vrijgeven waarmee iedereen een paar pdf’s kan maken die hashen naar dezelfde SHA-1-som, gegeven twee verschillende afbeeldingen met enkele voorwaarden. Om te voorkomen dat deze aanval actief wordt gebruikt, hebben we beveiligingen toegevoegd voor Gmail- en GSuite-gebruikers die onze PDF-botsingstechniek detecteren.ā
Google heeft een gemaakt website om de volledige aanval te laten zien. U kunt de lezen onderzoekspaper. Dus, wat vind je hiervan? Deel uw mening in het opmerkingenveld hieronder.