ইউএস ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) বলেছে এটি SHA-1, বা সিকিউর হ্যাশ অ্যালগরিদম-1 অবসর নেওয়ার সময়। NIST 31 ডিসেম্বর, 2030 তারিখ নির্ধারণ করেছে সমস্ত সফ্টওয়্যার এবং হার্ডওয়্যার ডিভাইস থেকে SHA-1 সমর্থন সরাতে।
একসময় ব্যাপকভাবে ব্যবহৃত অ্যালগরিদম এখন ক্র্যাক করা সহজ, এটি নিরাপত্তা প্রসঙ্গে ব্যবহার করা অনিরাপদ করে তোলে। NIST 1 সালে SHA-2011 বাতিল করেছে এবং 1 সালে ডিজিটাল স্বাক্ষর তৈরি বা যাচাই করার সময় SHA-2013 ব্যবহার করার অনুমতি দেওয়া হয়নি।
"আমরা সুপারিশ করছি যে নিরাপত্তার জন্য SHA-1-এর উপর নির্ভরশীল যে কেউ যত তাড়াতাড়ি সম্ভব SHA-2 বা SHA-3-এ স্থানান্তর করুন," NIST কম্পিউটার বিজ্ঞানী ক্রিস সেলি একটি বিবৃতিতে বলেছেন৷
ফেডারেল ইনফরমেশন প্রসেস স্ট্যান্ডার্ডস (FIPS) 1-180-এ ব্যবহারের জন্য মূলত অনুমোদিত সাতটি হ্যাশ অ্যালগরিদমের মধ্যে SHA-4 ছিল। সরকারের স্ট্যান্ডার্ডের পরবর্তী সংস্করণ, FIPS 180-5, 2030 সালের শেষ নাগাদ চূড়ান্ত হবে — এবং SHA-1 সেই সংস্করণে অন্তর্ভুক্ত করা হবে না। এর মানে হল 2030 এর পরে, ফেডারেল সরকারকে এখনও SHA-1 ব্যবহার করে ডিভাইস বা অ্যাপ্লিকেশন কেনার অনুমতি দেওয়া হবে না।
বিকাশকারীদের নিশ্চিত করতে হবে যে তাদের অ্যাপ্লিকেশনগুলি সেই সময়ের মধ্যে SHA-1 সমর্থন করে এমন কোনও উপাদান ব্যবহার করবে না। যদিও এটি আপডেট করার জন্য প্রচুর সময় বলে মনে হতে পারে, বিকাশকারীদের FIPS প্রয়োজনীয়তা পূরণের জন্য প্রত্যয়িত হওয়ার জন্য অ্যাপ্লিকেশনগুলি জমা দিতে হবে। এনআইএসটি বলেছে, পরে যাচাই করার চেয়ে আগে যাচাই করা এবং পুনরায় প্রত্যয়িত করা ভাল, কারণ পর্যালোচনা করার জন্য সংশোধিত কোডের ব্যাকলগ থাকতে পারে।
"31 ডিসেম্বর, 2030 এর আগে তাদের স্থানান্তর সম্পূর্ণ করার মাধ্যমে, স্টেকহোল্ডাররা - বিশেষ করে ক্রিপ্টোগ্রাফিক মডিউল বিক্রেতারা - বৈধকরণ প্রক্রিয়ায় সম্ভাব্য বিলম্ব কমাতে সাহায্য করতে পারে," NIST বলেছে৷
FIPS আপডেট করার সাথে সাথে, NIST সংশোধন করবে NIST বিশেষ প্রকাশনা (SP) 800-131A SHA-1 প্রত্যাহার করা হয়েছে তা প্রতিফলিত করতে এবং ক্রিপ্টোগ্রাফিক মডিউল এবং অ্যালগরিদম যাচাই করার জন্য একটি রূপান্তর কৌশল প্রকাশ করবে।
SHA-1 বছরের পর বছর ধরে বের হওয়ার পথে। প্রধান ওয়েব ব্রাউজারগুলি 1 সালে SHA-2017-এর উপর ভিত্তি করে ডিজিটাল সার্টিফিকেশন সমর্থন করা বন্ধ করে দিয়েছে। Microsoft 1 সালে Windows Update থেকে SHA-2020 বাদ দিয়েছে। কিন্তু এখনও SHA-1 সমর্থন করে এমন লিগ্যাসি অ্যাপ্লিকেশন রয়েছে।
যদিও হ্যাশিং একমুখী এবং উল্টানো যায় না বলে মনে করা হয়, আক্রমণকারীরা সাধারণ স্ট্রিংগুলির SHA-1 হ্যাশগুলি নিয়েছে এবং সেগুলিকে লুকআপ টেবিলে সংরক্ষণ করেছে, এটি অভিধান-ভিত্তিক আক্রমণগুলি চালু করাকে তুচ্ছ করে তুলেছে৷
এছাড়াও, সংঘর্ষের আক্রমণ - প্রাথমিকভাবে 2005 সালে একটি তাত্ত্বিক আক্রমণ হিসাবে বর্ণনা করা হয়েছিল - 2017 সালে আরও ব্যবহারিক হয়ে ওঠে। যদিও পৃথক স্ট্রিংগুলি বেশিরভাগ সময় অনন্য হ্যাশ তৈরি করে, সংঘর্ষের আক্রমণ এমন একটি পরিস্থিতি তৈরি করে যেখানে দুটি ভিন্ন বার্তা একই হ্যাশ মান তৈরি করে, আক্রমণকারীদের অনুমতি দেয় হ্যাশ ক্র্যাক করতে একটি ভিন্ন স্ট্রিং ব্যবহার করুন।
