On aika lopettaa SHA-1 eli Secure Hash Algorithm-1, sanoo US National Institute of Standards and Technology (NIST). NIST on asettanut päivämääräksi 31. joulukuuta 2030 poistaaksesi SHA-1-tuen kaikista ohjelmisto- ja laitteistolaitteista.
Aiemmin laajalti käytetty algoritmi on nyt helppo murtaa, mikä tekee siitä vaarallisen käyttää tietoturvayhteyksissä. NIST poisti SHA-1:n käytöstä vuonna 2011 ja kielsi SHA-1:n käytön digitaalisten allekirjoitusten luomisessa tai vahvistamisessa vuonna 2013.
"Suosittelemme, että jokainen, joka luottaa SHA-1:een turvallisuuden vuoksi, siirtyy SHA-2:een tai SHA-3:een mahdollisimman pian", NISTin tietojenkäsittelytieteilijä Chris Celi sanoi lausunnossaan.
SHA-1 oli seitsemän hajautusalgoritmin joukossa, jotka alun perin hyväksyttiin käytettäväksi Federal Information Process Standards (FIPS) 180-4:ssä. Hallituksen standardin seuraava versio, FIPS 180-5, on lopullinen vuoden 2030 loppuun mennessä - ja SHA-1 ei sisälly tähän versioon. Tämä tarkoittaa, että vuoden 2030 jälkeen liittovaltion hallitus ei saa ostaa laitteita tai sovelluksia, jotka käyttävät edelleen SHA-1:tä.
Kehittäjien on varmistettava, että heidän sovelluksensa eivät käytä SHA-1:tä tukevia komponentteja siihen mennessä. Vaikka päivitysten tekemiseen saattaa tuntua olevan runsaasti aikaa, kehittäjien on lähetettävä sovellukset, jotta ne voidaan sertifioida FIPS-vaatimusten mukaisiksi. On parempi saada varmennus ja uudelleensertifiointi aikaisemmin kuin myöhemmin, koska tarkistettua koodia voi olla ruuhkassa, NIST sanoi.
"Samalla sidosryhmät - erityisesti salausmoduulien toimittajat - saat päätökseen siirronsa ennen 31. joulukuuta 2030, voivat auttaa minimoimaan mahdollisia viivästyksiä validointiprosessissa", NIST sanoi.
FIPS päivityksen ohella NIST tarkistaa NIST-erikoisjulkaisu (SP) 800-131A kuvastaa sitä tosiasiaa, että SHA-1 on poistettu, ja julkaisee siirtymästrategian kryptografisten moduulien ja algoritmien validoimiseksi.
SHA-1 on ollut matkalla ulos vuosia. Tärkeimmät verkkoselaimet lopettivat SHA-1:een perustuvien digitaalisten sertifikaattien tukemisen vuonna 2017. Microsoft poisti SHA-1:n Windows Updatesta vuonna 2020. Mutta edelleen on olemassa vanhoja sovelluksia, jotka tukevat SHA-1:tä.
Vaikka hajautusten oletetaan olevan yksisuuntaista eikä peruutettavissa, hyökkääjät ovat ottaneet yleisten merkkijonojen SHA-1-tiivisteitä ja tallentaneet ne hakutaulukoihin, mikä tekee sanakirjapohjaisten hyökkäysten käynnistämisestä triviaalia.
Myös törmäyshyökkäykset – alun perin teoreettiseksi hyökkäykseksi vuonna 2005 kuvattu – tulivat käytännöllisemmiksi vuonna 2017. Vaikka yksittäiset merkkijonot tuottavat suurimman osan ajasta ainutlaatuisia tiivisteitä, törmäyshyökkäys luo tilanteen, jossa kaksi eri viestiä luo saman hash-arvon, jolloin hyökkääjät voivat käytä eri merkkijonoa hashin murtamiseen.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
