Security-expert Bruce Schneier is na de aankondiging van SHA-3 nog even verder gaan denken over de veiligheid van de huidige standaard. Een berekening van Intel-onderzoeker Jesse Walker wijst uit dat met de huidige technologische ontwikkelingen het over zes jaar SHA-1 tegen een betaalbaar tarief te kraken is via een collision-aanval.

Praktisch mogelijk, maar duur

Bij zo'n aanval wordt een digitale vingerafdruk aangemaakt uit een willekeurig bestand waarbij de gegenereerde hash hetzelfde is als het originele certificaat. Deze aanval is lang theoretisch geweest, waardoor toch maar vast SHA-2 werd ontwikkeld. Inmiddels is het praktisch wel mogelijk, maar de berekeningen die nodig zijn vereisen behoorlijk wat rekenkracht.

Schneier is gaan kijken naar de rekenkracht die vereist is voor de aanval die door Marc Stevens van het Centrum Wiskunde & Informatica is uitgedacht. Vandaag de dag zou het 2,7 miljoen dollar kosten om de crypto-aanval uit te voeren via de servers van Amazon. Hij neemt bij z'n berekening aan dat de Wet van Moore blijft gelden en de processorkracht elke twee jaar ruwweg verdubbelt.

Prijsdaling voor SHA-1-kraak

Terwijl de processorkracht van de servers van Amazon omhoog gaat, daalt de prijs in 2018 tot zo'n 173.000 dollar en in 2021 tot 43.000. Bovendien gaat de deskundige er vanuit dat het aantal cores per server gelijk blijft, wat nog niet gezegd is. De prijs per aanval zou dus nog verder kunnen dalen en dat zou een SHA-1-kraak behoorlijk lucratief kunnen maken.

Hij gaat er verder vanuit dat nieuwe cryptodoorbraken dit proces mogelijk nog verder zullen versnellen. Volgens Schneier betekent dit dat het tijd wordt om SHA-1 zoetjesaan helemaal los te laten en naar -2 of -3 over te stappen. SHA-1 wordt nu bijvoorbeeld nog gebruikt in het huidige TLS-protocol.

Update 11:53 uur: De berekening die Schneier meldt is gedaan door Intels Jesse Walker, niet door Schneier zelf.