US National Institute of Standards and Technology (NIST) का कहना है कि SHA-1 या सिक्योर हैश एल्गोरिथम -1 को रिटायर करने का समय आ गया है। NIST ने 31 दिसंबर, 2030 की तारीख तय की है सभी सॉफ्टवेयर और हार्डवेयर उपकरणों से SHA-1 समर्थन को हटाने के लिए।
एक बार व्यापक रूप से इस्तेमाल किया जाने वाला एल्गोरिदम अब क्रैक करना आसान है, जिससे इसे सुरक्षा संदर्भों में उपयोग करने में असुरक्षित बना दिया गया है। NIST ने 1 में SHA-2011 को पदावनत कर दिया और 1 में डिजिटल हस्ताक्षर बनाते या सत्यापित करते समय SHA-2013 का उपयोग करने की अनुमति नहीं दी।
एनआईएसटी कंप्यूटर वैज्ञानिक क्रिस सेली ने एक बयान में कहा, "हम अनुशंसा करते हैं कि सुरक्षा के लिए एसएचए-1 पर भरोसा करने वाला कोई भी व्यक्ति जल्द से जल्द एसएचए-2 या एसएचए-3 में माइग्रेट हो जाए।"
SHA-1 मूल रूप से संघीय सूचना प्रक्रिया मानक (FIPS) 180-4 में उपयोग के लिए स्वीकृत सात हैश एल्गोरिदम में से एक था। सरकार के मानक का अगला संस्करण, FIPS 180-5, 2030 के अंत तक अंतिम होगा — और SHA-1 को उस संस्करण में शामिल नहीं किया जाएगा। इसका मतलब है कि 2030 के बाद, संघीय सरकार को अभी भी SHA-1 का उपयोग करने वाले डिवाइस या एप्लिकेशन खरीदने की अनुमति नहीं होगी।
डेवलपर्स को यह सुनिश्चित करने की आवश्यकता है कि उस समय तक उनके एप्लिकेशन SHA-1 का समर्थन करने वाले किसी भी घटक का उपयोग नहीं करते हैं। हालांकि ऐसा लग सकता है कि अपडेट करने के लिए काफी समय है, डेवलपर्स को FIPS आवश्यकताओं को पूरा करने के रूप में प्रमाणित होने के लिए एप्लिकेशन सबमिट करने की आवश्यकता होती है। एनआईएसटी ने कहा कि बाद के बजाय पहले सत्यापित और पुन: प्रमाणित होना बेहतर है, क्योंकि समीक्षा के लिए संशोधित कोड का बैकलॉग हो सकता है।
"31 दिसंबर, 2030 से पहले अपना संक्रमण पूरा करके, हितधारक - विशेष रूप से क्रिप्टोग्राफ़िक मॉड्यूल विक्रेता - सत्यापन प्रक्रिया में संभावित देरी को कम करने में मदद कर सकते हैं," एनआईएसटी ने कहा।
FIPS को अपडेट करने के साथ-साथ NIST रिवाइज करेगा एनआईएसटी विशेष प्रकाशन (एसपी) 800-131ए इस तथ्य को प्रतिबिंबित करने के लिए कि SHA-1 को वापस ले लिया गया है, और क्रिप्टोग्राफ़िक मॉड्यूल और एल्गोरिदम को मान्य करने के लिए एक संक्रमण रणनीति प्रकाशित करेगा।
SHA-1 वर्षों से अपने रास्ते पर है। प्रमुख वेब ब्राउज़र ने 1 में SHA-2017 के आधार पर डिजिटल प्रमाणन का समर्थन करना बंद कर दिया। Microsoft ने SHA-1 को 2020 में Windows अद्यतन से हटा दिया। लेकिन अभी भी ऐसे लीगेसी एप्लिकेशन हैं जो SHA-1 का समर्थन करते हैं।
जबकि हैशिंग को एक तरफ़ा और प्रतिवर्ती नहीं माना जाता है, हमलावरों ने सामान्य स्ट्रिंग्स के SHA-1 हैश ले लिए हैं और उन्हें लुकअप टेबल में संग्रहीत किया है, जिससे शब्दकोश-आधारित हमलों को लॉन्च करना तुच्छ हो गया है।
इसके अलावा, टकराव के हमले - शुरू में 2005 में एक सैद्धांतिक हमले के रूप में वर्णित - 2017 में अधिक व्यावहारिक हो गए। जबकि व्यक्तिगत तार ज्यादातर समय अद्वितीय हैश का उत्पादन करते हैं, टकराव का हमला एक ऐसी स्थिति बनाता है जहां दो अलग-अलग संदेश एक ही हैश मान उत्पन्न करते हैं, जिससे हमलावरों को अनुमति मिलती है हैश को क्रैक करने के लिए एक अलग स्ट्रिंग का उपयोग करें।
