Sudah waktunya untuk menghentikan SHA-1, atau Secure Hash Algorithm-1, kata Institut Standar dan Teknologi Nasional AS (NIST). NIST telah menetapkan tanggal 31 Desember 2030 untuk menghapus dukungan SHA-1 dari semua perangkat lunak dan perangkat keras.
Algoritme yang dulu banyak digunakan kini mudah diretas, sehingga tidak aman untuk digunakan dalam konteks keamanan. NIST tidak lagi menggunakan SHA-1 pada tahun 2011 dan tidak mengizinkan penggunaan SHA-1 saat membuat atau memverifikasi tanda tangan digital pada tahun 2013.
โKami menyarankan siapa pun yang mengandalkan SHA-1 untuk keamanan bermigrasi ke SHA-2 atau SHA-3 sesegera mungkin,โ kata ilmuwan komputer NIST Chris Celi dalam sebuah pernyataan.
SHA-1 adalah salah satu dari tujuh algoritma hash yang awalnya disetujui untuk digunakan dalam Standar Proses Informasi Federal (FIPS) 180-4. Versi standar pemerintah berikutnya, FIPS 180-5, akan menjadi final pada akhir tahun 2030 โ dan SHA-1 tidak akan disertakan dalam versi tersebut. Artinya, setelah tahun 2030, pemerintah federal tidak akan diizinkan membeli perangkat atau aplikasi yang masih menggunakan SHA-1.
Pengembang perlu memastikan aplikasi mereka tidak menggunakan komponen apa pun yang mendukung SHA-1 pada saat itu. Meskipun sepertinya masih banyak waktu untuk melakukan pembaruan, pengembang perlu mengirimkan aplikasi untuk mendapatkan sertifikasi yang memenuhi persyaratan FIPS. Lebih baik melakukan verifikasi dan sertifikasi ulang lebih awal daripada terlambat, karena mungkin ada simpanan kode yang direvisi untuk ditinjau, kata NIST.
โDengan menyelesaikan transisinya sebelum 31 Desember 2030, pemangku kepentingan โ khususnya vendor modul kriptografi โ dapat membantu meminimalkan potensi penundaan dalam proses validasi,โ kata NIST.
Seiring dengan pemutakhiran FIPS, NIST akan melakukan revisi Publikasi Khusus NIST (SP) 800-131A untuk mencerminkan fakta bahwa SHA-1 telah ditarik, dan akan menerbitkan strategi transisi untuk memvalidasi modul dan algoritma kriptografi.
SHA-1 telah keluar selama bertahun-tahun. Browser web utama berhenti mendukung sertifikasi digital berdasarkan SHA-1 pada tahun 2017. Microsoft menghapus SHA-1 dari Pembaruan Windows pada tahun 2020. Namun masih ada aplikasi lama yang mendukung SHA-1.
Meskipun hashing seharusnya bersifat satu arah dan tidak dapat dibalik, penyerang telah mengambil hash SHA-1 dari string umum dan menyimpannya dalam tabel pencarian, sehingga meluncurkan serangan berbasis kamus menjadi hal yang mudah.
Selain itu, serangan tabrakan โ yang awalnya digambarkan sebagai serangan teoretis pada tahun 2005 โ menjadi lebih praktis pada tahun 2017. Meskipun string individual sering kali menghasilkan hash unik, serangan tabrakan menciptakan situasi di mana dua pesan berbeda menghasilkan nilai hash yang sama, sehingga memungkinkan penyerang untuk gunakan string yang berbeda untuk memecahkan hash.
