NIST سرانجام SHA-1 را بازنشسته می کند، نوعی از هوش داده PlatoBlockchain. جستجوی عمودی Ai.

NIST بالاخره SHA-1 را بازنشسته می کند، نوعی

تمبر زمان: 15 دسامبر 2022، 6:00 بعد از ظهر

موسسه ملی استانداردها و فناوری ایالات متحده (NIST) می گوید که زمان بازنشستگی SHA-1 یا الگوریتم هش ایمن-1 فرا رسیده است. NIST تاریخ 31 دسامبر 2030 را تعیین کرده است برای حذف پشتیبانی SHA-1 از همه دستگاه های نرم افزاری و سخت افزاری.

الگوریتمی که زمانی به طور گسترده استفاده می شد اکنون به راحتی شکسته می شود و استفاده از آن در زمینه های امنیتی را ناامن می کند. NIST SHA-1 را در سال 2011 منسوخ کرد و استفاده از SHA-1 را هنگام ایجاد یا تأیید امضای دیجیتال در سال 2013 ممنوع کرد.

کریس سلی، دانشمند کامپیوتر NIST، در بیانیه ای گفت: "ما توصیه می کنیم هر کسی که برای امنیت به SHA-1 اعتماد می کند، در اسرع وقت به SHA-2 یا SHA-3 مهاجرت کند."

SHA-1 یکی از هفت الگوریتم هش بود که در اصل برای استفاده در استانداردهای فرآیند اطلاعات فدرال (FIPS) 180-4 تأیید شده بود. نسخه بعدی استاندارد دولتی، FIPS 180-5، تا پایان سال 2030 نهایی خواهد شد - و SHA-1 در آن نسخه گنجانده نخواهد شد. این بدان معناست که پس از سال 2030، دولت فدرال مجاز به خرید دستگاه‌ها یا برنامه‌هایی که هنوز از SHA-1 استفاده می‌کنند، نخواهد بود.

توسعه‌دهندگان باید مطمئن شوند که برنامه‌هایشان تا آن زمان از هیچ مؤلفه‌ای استفاده نمی‌کنند که از SHA-1 پشتیبانی می‌کند. در حالی که ممکن است زمان زیادی برای به‌روزرسانی به نظر برسد، توسعه‌دهندگان باید برنامه‌ها را ارسال کنند تا تأیید شوند که الزامات FIPS را برآورده می‌کنند. به گفته NIST، بهتر است زودتر تأیید و تأیید مجدد شود تا دیرتر، زیرا ممکن است تعداد زیادی کد اصلاح شده برای بررسی وجود داشته باشد.

NIST گفت: "با تکمیل انتقال آنها قبل از 31 دسامبر 2030، سهامداران - به ویژه فروشندگان ماژول های رمزنگاری - می توانند به حداقل رساندن تاخیرهای احتمالی در فرآیند اعتبار سنجی کمک کنند."

همراه با به روز رسانی FIPS، NIST اصلاح خواهد شد انتشارات ویژه NIST (SP) 800-131A برای منعکس کردن این واقعیت که SHA-1 کنار گذاشته شده است، و یک استراتژی انتقال برای اعتبارسنجی ماژول ها و الگوریتم های رمزنگاری منتشر خواهد کرد.

SHA-1 سالهاست که در راه خروج بوده است. مرورگرهای وب عمده پشتیبانی از گواهینامه های دیجیتال مبتنی بر SHA-1 را در سال 2017 متوقف کردند. مایکروسافت SHA-1 را از Windows Update در سال 2020 حذف کرد. اما هنوز برنامه های قدیمی وجود دارند که از SHA-1 پشتیبانی می کنند.

در حالی که هش قرار است یک طرفه باشد و برگشت‌پذیر نباشد، مهاجمان هش‌های SHA-1 از رشته‌های رایج را گرفته و در جداول جستجو ذخیره کرده‌اند، و اجرای حملات مبتنی بر فرهنگ لغت را بی‌اهمیت می‌سازد.

همچنین، حملات برخورد - که ابتدا به عنوان یک حمله تئوری در سال 2005 توصیف شد - در سال 2017 عملی تر شدند. در حالی که رشته های منفرد در بیشتر مواقع هش های منحصر به فرد تولید می کنند، حمله برخورد موقعیتی را ایجاد می کند که در آن دو پیام مختلف مقدار هش یکسانی ایجاد می کنند و به مهاجمان اجازه می دهد از یک رشته متفاوت برای شکستن هش استفاده کنید.

تمبر زمان:

بیشتر از تاریک خواندن