È tempo di ritirare SHA-1, o Secure Hash Algorithm-1, afferma il National Institute of Standards and Technology (NIST) degli Stati Uniti. Il NIST ha fissato la data del 31 dicembre 2030 per rimuovere il supporto SHA-1 da tutti i dispositivi software e hardware.
L'algoritmo un tempo ampiamente utilizzato è ora facile da decifrare, rendendone pericoloso l'utilizzo in contesti di sicurezza. Il NIST ha deprecato SHA-1 nel 2011 e non ha consentito l'utilizzo di SHA-1 durante la creazione o la verifica delle firme digitali nel 2013.
"Raccomandiamo a chiunque si affidi a SHA-1 per la sicurezza di migrare a SHA-2 o SHA-3 il prima possibile", ha dichiarato in una nota l'informatico del NIST Chris Celi.
SHA-1 era tra i sette algoritmi hash originariamente approvati per l'uso nei Federal Information Process Standards (FIPS) 180-4. La prossima versione dello standard del governo, FIPS 180-5, sarà definitiva entro la fine del 2030 e SHA-1 non sarà inclusa in quella versione. Ciò significa che dopo il 2030, il governo federale non sarà autorizzato ad acquistare dispositivi o applicazioni che utilizzano ancora SHA-1.
Gli sviluppatori devono assicurarsi che le loro applicazioni non utilizzino alcun componente che supporti SHA-1 entro quel momento. Sebbene possa sembrare un sacco di tempo per effettuare gli aggiornamenti, gli sviluppatori devono inviare le applicazioni per essere certificate come conformi ai requisiti FIPS. È meglio essere verificati e ricertificati prima piuttosto che dopo, poiché potrebbe esserci un arretrato di codice rivisto da rivedere, ha affermato il NIST.
"Completando la transizione prima del 31 dicembre 2030, le parti interessate, in particolare i fornitori di moduli crittografici, possono contribuire a ridurre al minimo i potenziali ritardi nel processo di convalida", ha affermato il NIST.
Insieme all'aggiornamento di FIPS, il NIST lo rivedrà Pubblicazione speciale NIST (SP) 800-131A per riflettere il fatto che SHA-1 è stato ritirato e pubblicherà una strategia di transizione per la convalida di moduli e algoritmi crittografici.
SHA-1 è in uscita da anni. I principali browser web hanno smesso di supportare le certificazioni digitali basate su SHA-1 nel 2017. Microsoft ha abbandonato SHA-1 da Windows Update nel 2020. Ma ci sono ancora applicazioni legacy che supportano SHA-1.
Mentre l'hashing dovrebbe essere unidirezionale e non reversibile, gli aggressori hanno preso hash SHA-1 di stringhe comuni e li hanno archiviati in tabelle di ricerca, rendendo banale il lancio di attacchi basati su dizionario.
Inoltre, gli attacchi di collisione, inizialmente descritti come attacchi teorici nel 2005, sono diventati più pratici nel 2017. Mentre le singole stringhe producono hash univoci per la maggior parte del tempo, l'attacco di collisione crea una situazione in cui due messaggi diversi generano lo stesso valore hash, consentendo agli aggressori di usa una stringa diversa per decifrare l'hash.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
