NIST פורש סוף סוף את SHA-1, סוג של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

NIST פורש סוף סוף את SHA-1, סוג של

חותמת זמן: 15 בדצמבר, 2022 6:00

הגיע הזמן לפרוש את SHA-1, או את Secure Hash Algorithm-1, אומר המכון הלאומי האמריקאי לתקנים וטכנולוגיה (NIST). NIST קבעה את התאריך ל-31 בדצמבר 2030 כדי להסיר את תמיכת SHA-1 מכל התקני התוכנה והחומרה.

כעת קל לפיצוח האלגוריתם שהיה בעבר נפוץ, מה שהופך אותו לא בטוח לשימוש בהקשרי אבטחה. NIST הוציא משימוש את SHA-1 ב-2011 ואסר את השימוש ב-SHA-1 בעת יצירה או אימות של חתימות דיגיטליות ב-2013.

"אנו ממליצים לכל מי שמסתמך על SHA-1 לאבטחה לעבור ל-SHA-2 או SHA-3 בהקדם האפשרי", אמר מדען המחשבים של NIST כריס סאלי בהצהרה.

SHA-1 היה בין שבעת אלגוריתמי ה-hash שאושרו במקור לשימוש בתקני תהליכי המידע הפדרליים (FIPS) 180-4. הגרסה הבאה של התקן הממשלתי, FIPS 180-5, תהיה סופית עד סוף 2030 - ו-SHA-1 לא ייכלל בגרסה זו. כלומר לאחר 2030, הממשלה הפדרלית לא תהיה רשאית לרכוש מכשירים או אפליקציות שעדיין משתמשים ב-SHA-1.

מפתחים צריכים לוודא שהאפליקציות שלהם לא ישתמשו ברכיבים התומכים ב-SHA-1 עד אז. למרות שזה עשוי להיראות כמו הרבה זמן לבצע עדכונים, מפתחים צריכים להגיש את האפליקציות כדי לקבל אישור שעומדים בדרישות FIPS. עדיף לקבל אימות ואישור מחדש מוקדם יותר מאשר מאוחר יותר, מכיוון שיכול להיות צבר של קוד מתוקן לבדיקה, אמר NIST.

"על ידי השלמת המעבר שלהם לפני 31 בדצמבר 2030, בעלי עניין - במיוחד ספקי מודולים קריפטוגרפיים - יכולים לעזור למזער עיכובים פוטנציאליים בתהליך האימות", אמר NIST.

יחד עם עדכון FIPS, NIST ישנה פרסום מיוחד של NIST (SP) 800-131A לשקף את העובדה ש-SHA-1 הוסר, ויפרסם אסטרטגיית מעבר לאימות מודולים ואלגוריתמים קריפטוגרפיים.

SHA-1 כבר שנים בדרך החוצה. דפדפני אינטרנט מרכזיים הפסיקו לתמוך בהסמכות דיגיטליות המבוססות על SHA-1 בשנת 2017. מיקרוסופט הורידה את SHA-1 מ-Windows Update בשנת 2020. אבל עדיין יש יישומים מדור קודם שתומכים ב-SHA-1.

בעוד ש-hash אמור להיות חד-כיווני ולא הפיך, תוקפים לקחו גיבוב SHA-1 של מחרוזות נפוצות ואחסנו אותם בטבלאות חיפוש, מה שהופך את זה לטריוויאלי להשיק התקפות מבוססות מילון.

כמו כן, התקפות התנגשות - שתוארו בתחילה כהתקפה תיאורטית בשנת 2005 - הפכו למעשיות יותר בשנת 2017. בעוד מחרוזות בודדות מייצרות גיבוב ייחודי לרוב, התקפת ההתנגשות יוצרת מצב שבו שני הודעות שונות מייצרות ערך גיבוב זהה, מה שמאפשר לתוקפים השתמש במחרוזת אחרת כדי לפצח את ה-hash.

בול זמן:

עוד מ קריאה אפלה