dxdt.ru: занимательный интернет-журнал

В OpenSSL теперь будет ГОСТ (2012) для TLS:

“Специалисты Технического центра Интернет (ТЦИ) достигли договоренностей о включении поддержки российских криптографических алгоритмов цифровой электронной подписи и хеширования 2012 года ГОСТ Р 34.10-2012 и ГОСТ Р 34-11.2012.”

Силами Дмитрия Белявского. Замечательно. (Соответствующий commit в Git OpenSSL.)

Автомобили-роботы управляются программами, которые находятся в их бортовых компьютерах. По крайней мере, на первых порах, программы будут в бортовых компьютерах – ну, прежде чем их традиционно “унесут в облако”. Бортовые программы управления можно обновлять, а можно просто “поменять прошивку”. Вообще, загрузка новых прошивок в автомобильные бортовые вычислительные системы уже очень распространённое явление: есть сервисные центры, которые “чипуют” мотор, повышая мощность; для многих марок выпущены специальные программаторы, доступные каждому автовладельцу – такой программатор позволяет выбрать одну из нескольких прошивок (типа, “Максимальная мощность”, “Экономия топлива” и пр.) и загрузить её на борт. Так что прошивки для автомобилей-роботов должны появиться обязательно. И поле деятельности для разработчиков прошивок тут велико: ведь изменения касаются не только работы агрегатов, но и использования автомобиля в целом. Какие новые прошивки предложат?

Мастер-водитель

Прошивка со стилем вождения некоторого знаменитого “водителя”. Пилоты “Формулы-1”, всемирно известные раллисты – дампы телеметрии их спортивных автомобилей, записанные во время гонок и позже похищенные хакерами, позволяют точно копировать манеру переключения передач и прохождения апексов поворотов. Проблему может составить только то, что дорожный автомобиль-робот не слишком похож на своего гоночного собрата по динамическим характеристикам. Не беда: прошивка адаптируется под конкретную марку, и вот – бюджетный хетчбек уже повис на заднем бампере “соперника”, ожидая возможности обойти его по внутреннему радиусу, на торможении, а владелец автомобиля-робота счастливо вцепился руками в пассажирское кресло. Да, активное вождение несёт с собой риски: автономный автомобильчик может просто развалиться от перегрузок; от судебных разбирательств тут помогают только условия предоставления прошивки – “как есть”, без всяких гарантий.

Экономия топлива

“Стандартные прошивки недостаточно хорошо оптимизированы, поэтому эффективность использования топлива не так велика” – гласит описание прошивки, сопутствующее её торрент-адресу. Многие владельцы, уже скачавшие на свой смартфон семь приложений, ускоряющих доступ к Интернету, задумаются об экономии. Тем более, что прошивка сулит целый литр, на тысячу километров (подтверждено независимыми испытаниями!). Конечно, сливать топливо на сторону данная прошивка не сможет, но вот “вычислять биткоины”, в пользу авторов – вполне. Впрочем, автомобили-роботы станут сплошь электрическими, так что “экономить” прошивка будет не топливо, а ватты электроэнергии, например, при помощи “оптимальных настроек рекуперации”.

Маршрутное разнообразие

Робот возит вас с работы домой, а из дома на работу одним и тем же маршрутом? Скучно. Новая прошивка рандомизирует генератор маршрутов. В зависимости от топологических свойств географической окрестности, в которой вам повезло проживать, и заданных пользователем лимитов, перепрошитый робот будет использовать от десяти до десяти тысяч новых маршрутов, совпадающих не более чем в четырёх фрагментах, эквивалентных перегону между перекрёстками. Пользователи, получившие небольшую математическую подготовку, удивляются, почему в прошивке имеется верхний предел числа маршрутов, да ещё такой небольшой. Разработчики объясняют: теоретически, верхний предел должен быть связан либо с пробегом автомобиля, либо со временем его непрерывного движения (высказывается мнение, что на время движения, кроме других факторов, влияет физиология пассажира, его способность безвылазно сидеть в салоне, но эти детали пусть волнуют врачей, а не разработчиков “кастомных” прошивок). Действительно, число улиц на континенте позволяет построить большое число маршрутов из точки А в точку Б. Если ввести требование различия прямых и обратных маршрутов, то число вариантов заметно уменьшается, но всё равно остаётся большим и превышает десять тысяч даже для среднего мегаполиса. Однако на практике, в случае с автомобилем-роботом, всё упирается в объём бортовой памяти, выделенный под расчёт логистики посещения заправок. Так что сохранение совместимости прошивки с автомобилями, работающими под управлением ОС Apple, потребовало установления строгого верхнего лимита.

Винтажное такси

Загрузка этой прошивки приводит к тому, что автомобиль-робот перед поездкой отправляет владельцу сообщение на смартфон: “Машинка подъехала, выходите”. Но сам автомобиль при этом кружит по переулкам где-то за два-три квартала от дома. После того, как поездка всё же началась, принудительно включается голосовое управление – функция “Дорогу покажешь?”. Данная прошивка успешно конкурирует с прошивкой маршрутного разнообразия, потому что автомобиль прибывает из точки А в точку Б каким-то неожиданным образом, срезав путь через пару дворов, и как бы споря с собственной навигационной системой, негромко приговаривая через динамики: “Зачем мне на Рязанку? Мне туда не нужно”.

Для хипстеров

Прошивка существует в двух версиях: кофейной и амстердамской. При использовании кофейной версии, автомобиль-робот, после посадки пассажира в салон, никуда не едет, а вся энергия используется для зарядки смартфона и ноутбука пассажира, который в это время проводит активный “ресёрч”. Амстердамская версия вне зависимости от точки назначения доезжает только до ближайшего пункта проката велосипедов, а при отсутствии такового – до ближайшей пешеходной зоны. Далее пассажиру предлагается проследовать более экологичным видом транспорта.

(Продолжение следует.)

Как известно, “любая достаточно продвинутая технология неотличима от магии”. При этом “степень продвинутости” – оценочная величина, зависящая от системы отсчёта. Поэтому и порог достижения статуса магии – он разный для разных наблюдателей. Даже не для наблюдателей, а для пользователей.

Именно поэтому некоторые пользователи удивляются, как это содержание их сообщений электронной почты стало известно кому-то ещё. Нет, они вовсе не исключают, что кто-то, кроме получателя, может прочитать письмо. Но само понимание этого процесса чтения как раз сводится к степени вовлечения в магическую часть технологии. Так, пользователь уверен, что раз в момент написания письма никто не стоял у него за спиной, заглядывая на экран через плечо, то и содержание письма остаётся тайным. Понимание того, что есть некий “почтовый сервер”, где письмо присутствует в открытом виде – это следующий уровень, далеко не всем доступный, как ни странно.

Опытный пользователь знает о почтовом сервере. И догадывается, что его письмо может прочитать администрация сервера. Однако в администрации он уверен (что читать она не станет) и поэтому полагает переписку секретной, смело доверяя ей весьма скользкие моменты.

Но тут пользователя настигает следующий уровень – опять магия: электронные письма передаются по сетям связи, нередко – в открытом виде, поэтому читать их может и третья сторона, а не только “администрация сервера”. Понимание этого аспекта – уже прерогатива не обычного пользователя, а специалиста. Но магом данный понимающий специалист тоже не является.

Дело в том, что пока упомянутый специалист утверждает, что почта нынче ходит между продвинутыми серверами в зашифрованном виде, через TLS и прочие заклинания, настоящие техномаги (80 lvl) “кастуют” подмену DNS и заменяют интересующие их почтовые серверы на свои прокси. Эти прокси отменяют TLS (почтовые протоколы позволяют) и – хлоп! – опять читают “секретную” переписку пользователя, что грозит последнему проблемами, хоть он этого и не понимает.

Вывод и мораль: не используйте математических методов, если вы не понимаете их сути (из известного анекдота про математиков и физиков). Да. Лучше уж подсуньте записку под дверь.

Пишут, что МАК отозвал сертификаты у Boeing 737. Мотивируют тем, что не приняты меры по повышению “отказобезопасности системы управления рулём высоты”.

В Великобритании собираются законодательно запретить компаниям-провайдерам предоставлять защищённые на уровне “точка-точка” сервисы обмена сообщениями. То есть, закон будет требовать, чтобы обеспечивающие обмен сообщениями компании обязательно могли читать все пользовательские сообщения, если возникнет необходимость. Это означает, что сервисы, позволяющие пользователям самостоятельно выбрать ключи и, тем самым, обеспечить защиту канала от отправителя до получателя, оказываются вне закона. Что, впрочем, не помешает самим пользователям применять некоторые надстройки, вроде PGP, шифрующие сообщения до отправки. Ну, до тех пор, пока законодательно не запретят использовать подобные “хакерские инструменты” и не зафиксируют разрешённый для простых граждан набор приложений и сертифицированных гаджетов (так сказать, Trusted Platform), на которых такие приложения будут выполняться.

Богатая новая тема: как самоуправляемые автомобили (автомобили-роботы) должны вести себя в ситуациях, когда неизбежно нанесение вреда человеку и робот должен этот вред распределить. Речь о ситуации, когда автомобиль оказался перед выбором: наехать на группу пешеходов, перебегающих дорогу, или отвернуть, врезавшись в стену – пожертвовав, таким образом, своим пассажиром. В недавней работе, посвящённой исследованию отношения людей к решению роботом подобных задач, рассматривается даже три варианта: группа пешеходов против пассажира; пешеход против пассажира; случайный прохожий на тротуаре против группы пешеходов.

В голову сразу приходит предположение, что автомобиль-робот, оборудованный по последнему слову техники, просто не должен попадать в ситуации с подобными дилеммами. Действительно, при чисто математическом подходе, можно вписать такие ситуации в дерево решений, которым пользуется автомобиль, и он не станет выбирать ветки, которые, предположительно, ведут к подобным дилеммам: например, заранее остановится, если на дорогу могут выбежать пешеходы, зомбированные видом отходящего автобуса. Проблема в том, что автомобиль, запрограммированный подобным образом, скорее всего вообще никуда не сможет доехать. А если и сможет, то, при рассмотрении “граничных условий” эксплуатации, его окажется не так уж и сложно принудительно поставить в состояние дилеммы, например, предположив, что на дорогу неожиданно упало дерево (деревянное дерево, а не математическое).

Можно долго рассуждать о различных этических и философских подходах, но самый острый момент, который возникает при рассмотрении подобной ситуации, касается того, должен ли вообще автомобиль-робот убивать своего пассажира. (Собственно, исследование, проведённое в упомянутой работе, это подтверждает.) Скажем, если руководствоваться механистической (утилитарной?) концепцией, когда единственный фактор, влияющий на итоговое решение, это минимизация числа человеческих жертв, в целом ряде ситуаций машина должна, что называется, убиться об стену, унеся с собой пассажира – например, если дорогу перебегает группа людей, спасающихся от осиного роя. Но если пассажиров два, а пешеходу не повезло и он решил перебегать дорогу в одиночестве – ну, что ж, компьютер примет решение, и пешеход, к сожалению, не добежит.

Весьма непростых проблем тут гораздо больше. Предположим, что пассажир, прежде чем совершить поездку, принимает “лицензионное соглашение”, в котором есть пункт, разрешающий машине убить пассажира, “если вдруг что-то пойдёт не так”. Как быть, если пассажир взял с собой на борт недееспособных, например, ребёнка? Вполне вероятно, что логику распределения тяжкого вреда здоровью могут внести в некий стандарт, а этот стандарт, в статусе технических требований, будет утверждать государство. Тут возникает не менее сложная административная проблема: как принять закон, регулирующий и нормирующий убийство граждан автомобилями-роботами?

А хуже всего, что какой бы алгоритм не был выбран – его реализация может быть атакована злоумышленниками и хакерами. Новое направление, из области киберпанка: взлом этических алгоритмов роботов. Злоумышленники неожиданно выбегают отрядом на дорогу перед выездом из туннеля – два-три автомобиля гарантированно расплющиваются о стену. Тут, впрочем, проглядывает очевидный момент, связанный с нарушением Правил дорожного движения: относительно легко установить виновных, а наличие жёстко прописанного алгоритма поведения автомобиля позволяет снять всякую вину с пассажира, которому, правда, уже всё равно. Момент с поиском виновного тоже непрост. Взваливать ответственность на пассажира нельзя, в силу того, что у него нет никакой возможности повлиять на ситуацию, которую пытается разрулить автопилот. Но если пассажир заведомо не несёт ответственности, тогда сильно снижается “привлекательность” (если тут вообще применимо данное понятие) варианта с жертвующим собой автомобилем: пусть автомобиль-робот безусловно давит пешеходов, в конце концов – пассажир заплатил немалые деньги за эту интеллектуальную машину. И, кстати, в случае, если Правила трактуются максимально строго и формально, то у автомобиля-робота нет никаких проблем заранее тормозить перед пешеходным переходом, а у пешеходов-нарушителей – нет особых шансов добежать. Но если на дорогу всё ж упало дерево, то Правила уже нельзя применить достаточно строго.

Даже введение вместо пассажира-статиста должности “человеческого оператора” – не помогает преодолеть проблемы: если у оператора есть кнопка выбора, то когда машина оказалась в ситуации нанесения неотвратимого вреда, “человеческий оператор” просто гарантированно не успеет понять, что же случилось. Да. Даже если он внимательно следил за показаниями приборов.

Кстати, про фотографии. Нередко приходится видеть, как на фотографиях сетевого оборудования замазывают имена серверов и названия портов/линий. В принципе, это полезная практика: потому что также приходилось наблюдать и скандалы, когда на фотографиях из некоторого дата-центра, опубликованных в СМИ, специалисты узнали оборудование, которого в этом дата-центре (как бы) не должно было находиться. Так вот, на сайте ЦРУ есть статья, повествующая об одном рабочем эпизоде аналитика стратегической разведки, занимавшегося, в конце 50-х годов прошлого века, реконструкцией параметров советской электрической энергосистемы на Урале (некоторый перевод удалось найти готовый, но лучше, конечно, читать оригинал; зато страница с переводом очень дополняет оригинал важными картинками в высоком разрешении).

Если в двух словах, то история вертится вокруг фотографии, опубликованной в журнале “Огонёк” 1958 года. На этой фотографии запечатлена центральная диспетчерская “Уралэнерго”, находившаяся в Свердловске. Используя схему системы энергоснабжения, которая составляет основное содержание фотографии, аналитику ЦРУ Чарльзу В. Ривзу удалось составить план энергосистемы, на основе которого, используя теорию электросетей, он смог вычислить потребляемую мощность советских секретных атомных объектов, находившихся на Урале, а также подтвердить, что некоторые объекты – являются атомными. Ради этого, собственно, всё и затевалось. Фотография в “Огоньке”, конечно, была отретуширована перед печатью: на ней, как пишут, закрасили все названия и шкалы (или “индикаторы”) приборов. Зацепкой послужил состав схемы: обозначения, соответствовавшие генераторам, позволили сопоставить их с электростанциями – так как информация о числе генераторов на некоторых из них была известна из других источников. Новые станции, а также станции, о которых было мало информации (неизвестно число генераторов), оказалось возможным сопоставить со схемой методом исключения, анализируя взаимные подключения, на фотографии и на разведывательных аэрофотоснимках.

Занятно, что фотография из “Огонька” обозначена в статье как ключ, позволивший сопоставить имевшиеся данные и получить итоговую техническую схему энергосистемы (с указанием мощностей и прочих параметров). Схема, как пишут, являлась секретной. Правда, остаются вопросы. Раз схема энергосистемы являлась секретной, то для чего в “Огоньке” опубликовали фотографию пульта управления этой энергосистемой (пусть и отретушированную)? Понятно, что фотографии с режимного объекта, где присутствует секретная схема во всю стену – во всесоюзном журнале, отправляемом, фактически, прямо в ЦРУ, появиться не могли: фотокорреспондента просто не пустили бы на объект. То есть, настенная схема в диспетчерской, вероятно, всё же не считалась секретной. Либо её решили рассекретить. Возможен, конечно, и вариант, что специалист, просматривавший материал на предмет ретуширования, с одной стороны, не понимал, как работает служба стратегической разведки, а с другой – как работает энергосистема, поэтому оставил ключевые элементы нетронутыми.

Как можно было бы предотвратить утечку, опубликовав, вместе с тем, рискованную фотографию? Например, дорисовать примерно треть дополнительных обозначений, которых нет там в реальности. Попутно удалив примерно одну пятую обозначений подлинных. Но, конечно, дорисовка испортит документальную ценность фотографии, поэтому можно было бы ограничиться вырезанием больших кусков схемы и удалением изображений линий электропередач.

Кстати, в статье сообщается разумная вещь: выход продукта “атомного объекта” (например, оружейного плутония) коррелирует с потребляемой предприятием электрической мощностью. Но дело в том, что о таком побочном канале всем хорошо известно, поэтому вовсе не факт, что подводимая мощность соответствует мощности, потребляемой агрегатами и установками, занятыми в производстве. Методы и требования по маскировке информации в подобных каналах утечки никто не отменял: например, азы технической защиты информации – маскировка различных производственных отходов; это особенно касается атомной и химической промышленности. Впрочем, на сайте ЦРУ пишут, что выводы аналитика о схеме энергосистемы очень хорошо совпали с подоспевшими результатами аэрофотосъёмки U-2 – так что “Огонёк”, получается, помог, предоставив разведке дополнительный источник информации.

Вот.

А самое занимательное размышление, в плане “рекурсии”, это то, как должна работать аналитическая служба контрразведки, занимающаяся моделированием возможных методов работы стратегической разведки. Это для того, чтобы понимать, какую информацию скрывать, а также – как дезинформировать.

В Штатах СМИ рассказывают, что полиция Нью-Йорка использует засекреченные “рентгеновские автомобили”, предназначенные для “просвечивания” других автомобилей, наблюдения за прохожими, заглядывания в дома и что там можно ещё придумать за задачи для подобной техники. Речь про мобильные комплексы Z Backscatter® Van (“ZBV”) от компании AS&E, которые, судя по документации на сайте (см. ссылку) – секретными вовсе не являются.

Согласно описанию, эти комплексы используют рентгеновские сканеры обратного рассеяния, которые работают с отражённым сигналом и не требуют размещения приёмника за исследуемым объектом. Комплекс годится для сканирования самых разнообразных объектов прямо на ходу. Сканер монтируется на шасси обычного минивэна, который ничем не выделяется на дороге – эта особенность отдельно указана в качестве преимущества. Например, сканер, мирно едущий в соседней полосе, может заглянуть внутрь фуры. Такой досмотр не требует разрешения (не из-за административных правил, а просто потому – что откуда вообще условные пассажиры фуры могут узнать, что их сквозь металл наблюдает оператор рентгеновского сканера?). Собственно, скандал в Штатах как раз связан с тем, что не всем понравилось потенциальное присутствие подобных сканеров на улицах. Кто там, кстати, что-то говорил про шапочки из фольги? Против рентгеновского излучения они точно помогают, хотя и локально. А если серьёзно, то для подобных систем требуются достаточно малые дозы. Но, конечно, если машинка светит непрерывно во все стороны, раз за разом объезжая квартал, то можно говорить о некотором повышении “радиационной опасности”, особенно, если в сканере сломалась что-нибудь.

СМИ пишут, что Военно-морская академия США “возвращается к преподаванию астрономической навигации“. Но, похоже, речь всё же идёт о курсах практического обращения с секстантом. Вряд ли астрономическую навигацию не преподавали (как там пишут в статье, якобы, с конца 90-х годов): потому что не понятно, как вообще можно строить курс по навигации, обойдя астрономию. Собственно, для изучения GPS тоже требуется знание астрономических основ (а для подробного изучения – ещё и специальная теория относительности потребуется, да). Тем не менее, сама подача “возвращения секстанта” – занятна. Обоснованием служит наличие киберугроз. Последние стали настолько универсальным “пугателем”, что сейчас разве что выпуск нового сорта мыла не связывают с киберугрозами (видимо, недолго ждать).

Естественно, GPS не является абсолютно надёжным инструментом. Систему можно сломать, особенно если речь идёт о конкретном корабле. Поэтому полагаться только на GPS неверно. Однако кроме секстанта и справочников – есть и другие навигационные инструменты. Более того, чисто астрономические методы также давно автоматизированы: по Солнцу, Луне и звёздам может ориентироваться автомат, снабжённый оптикой и вычислителем.

Секстант, несомненно, полезен, но очень неэффективен. Особенно в случае с современным кораблём, где системы управления всё равно электронные. Полагать, что возможна ситуация, когда определённое вручную местоположение может сыграть какую-то роль на современном корабле, где, видимо, уже отказали все электронные системы, но неуправляемый корпус ещё продолжает куда-то плыть, и вот нужно уже дать ответ на удивлённый возглас капитана “а где же мы?” – ну, это что-то из области литературных рассказов. Хотя, конечно, придумать подобные кинематографические сценарии несложно. Сложно сделать их реалистичными.

Всё это никак не отменяет необходимости изучения секстанта на курсах штурманов. И не отменяет существования других приёмов навигации, кроме как основанных на использовании GPS или секстанта с линейками, циркулями, транспортирами и таблицами.

Коодинационный центр – это администратор доменных зон .RU и .РФ. Сегодня объявили о назначении нового директора:

12 октября 2015 года Координационный центр провел пресс-брифинг, на котором был представлен новый директор КЦ Андрей Воробьев, возглавлявший ранее пресс-службу ИРИ, а до этого занимавший должность директора по связям с госорганами крупнейшего российского регистратора Ru-Center. Также на пресс-брифинге был объявлен обновленный состав совета КЦ.

Хеш-функции ставят в соответствие произвольному входному сообщению (любой длины) некоторое число из множества значений функции, то есть, отображают всевозможные входные сообщения в конечное множество значений хеш-функции. Коллизия – это когда известны два различных сообщения, имеющих одно и то же значение хеш-функции, то есть, H(M) = H(M’). Очевидно, коллизии обязательно существуют для хеш-функции, за редким исключением (потому что на практике сообщений, грубо говоря, больше, чем значений функции). Коллизии бывают различных типов, и это различные типы обладают разными свойствами. Криптографически стойкие хеш-функции отличаются тем, что для них обнаружить коллизии должно быть вычислительно сложно.

SHA-1 – одна из самых распространённых криптографических хеш-функций. Сейчас она считается устаревшей, поэтому есть активное движение по вытеснению этой функции из практики. На днях опубликована работа, в которой найдены коллизии в полной функции сжатия SHA-1. Это весьма важное достижение. Сразу отмечу: функция сжатия – ключевой элемент алгоритма SHA-1, но обнаружение коллизий в функции сжатия не означает, что коллизии удалось обнаружить и для самой SHA-1: эффективных алгоритмов, позволяющих построить коллизии для SHA-1 из коллизий функции сжатия, не известно – ну или, как принято писать, “в открытой печати не опубликовано”. То есть, подделать электронную подпись, используя коллизию в функции сжатия, пока не получится.

С разными существенными ограничениями коллизии в SHA-1 обнаруживали и ранее, примерно с 2005 года. Новая работа – существенный шаг вперёд. Тем не менее, практически применимых коллизий никто пока не опубликовал. В упомянутой работе есть небольшой экскурс в историю: например, с MD5 тоже всё время улучшались результаты, уже было очевидно, что функция полностью утратила криптографическую стойкость, но все ждали пока опубликуют практическую демонстрацию – такой демонстрацией явился выпуск группой исследователей поддельного сертификата удостоверяющего центра.

А что вообще даёт возможность обнаружения коллизий в SHA-1? Предположим, у нас есть эффективный алгоритм, позволяющий находить самые “простые” коллизии (коллизии второго рода), а именно – два сообщения, для которых значения хеш-функции равны. Это позволяет получить два, – вообще говоря, случайных, – текста, для которых будет одинаковым значение электронной подписи, использующей SHA-1 для генерирования дайджеста сообщения. Смысла в этом не так много. Гораздо полезнее алгоритм, позволяющий найти коллизию первого рода: сообщение M’, для которого значение SHA-1 будет равно значению для заданного сообщения M. Тогда, например, можно будет взять SSL-сертификат (M), использующий SHA-1 в составе криптосистемы электронной подписи, и построить второе сообщение (M’), соответствующее данной электронной подписи. Хорошо? Хорошо. Но есть проблема: нигде не сказано, что это сообщение будет хоть как-то похоже на SSL-сертификат. То есть, подделать SSL-сертификат таким образом не выйдет – скорее всего пара из коллизии будет представлять собой случайный набор байтов, и хоть подписи совпадают, но подменить-то сертификат можно только файлом, соответствующим этому сертификату по структуре. Примерно то же относится и к ключам RSA – не факт, что обнаруженную коллизию удастся использовать в качестве открытого ключа. (Тут, впрочем, есть интересные оговорки, связанные с особенностями RSA – дело в том, что открытый ключ RSA – это не структура данных, а всего лишь целое число заданной разрядности; но это другая история.)

То есть, для того, чтобы коллизии в SHA-1 хорошо заработали на практике, нужен алгоритм, позволяющий обнаруживать коллизию для заданного сообщения, которая обладает некоторыми свойствами этого сообщения. Например, для заданного SSL-сертификата нужно иметь возможность построить сообщение, которое тоже является SSL-сертификатом, содержит другой открытый ключ, но при этом имеет то же значение хеш-функции. Это чрезвычайно сложно. Особенно если в качестве цели выбрать не произвольный сертификат, а вполне конкретное множество сертификатов, как того требует атака на ту или иную выбранную цель. В случае с MD5 и подделкой сертификатов, использовался алгоритм коллизии с выбранным префиксом: в составе сертификата выделили поля, одно из которых могло иметь произвольное значение, а другие – легко предсказуемое (в том числе, серийный номер), под эти параметры и была подобрана коллизия. Для SHA-1, применительно к инфраструктуре SSL, потребуется что-то подобное, вот только сертификаты сейчас чуть лучше защищены – формат лишили требуемой гибкости (addon: хотя, как мне подсказали, гибкости всё равно достаточно – можно ввести собственные расширения, либо использовать в качестве носителя переменного значения поля типа SAN и др., где формат позволяет вписывать самые разные данные).

В упомянутой работе также уточняют примерную стоимость нахождения полезной коллизии в SHA-1 – это около $170 тыс., потраченных на аренду мощностей Amazon EC2. С одной стороны, не такая большая сумма. С другой – целей для атак, которые заслуживают подобной траты, не так много. Если пытаться применить данный инструмент для подмены SSL-сертификата (хотя он для неё не очень и подходит), то придётся ещё перехватывать соединение с сайтом. Неплохим вариантом применения оказывается подделка подписи на троянской программе, которая таким образом сможет легко проникать в операционные системы. Но, опять же, вопрос, что тут проще: подделать подпись через коллизию или украсть ключ?

Впрочем, нестойкая хеш-функция, естественно, не должна использоваться.