Nadszedł czas, aby wycofać SHA-1 lub Secure Hash Algorithm-1, mówi amerykański Narodowy Instytut Standardów i Technologii (NIST). NIST ustalił datę 31 grudnia 2030 r usunąć obsługę SHA-1 ze wszystkich urządzeń programowych i sprzętowych.
Kiedyś szeroko stosowany algorytm jest teraz łatwy do złamania, co czyni go niebezpiecznym w kontekście bezpieczeństwa. NIST wycofał SHA-1 w 2011 roku i zabronił używania SHA-1 podczas tworzenia lub weryfikacji podpisów cyfrowych w 2013 roku.
„Zalecamy, aby każdy, kto polega na SHA-1 w zakresie bezpieczeństwa, jak najszybciej przeszedł na SHA-2 lub SHA-3”, powiedział w oświadczeniu informatyk NIST, Chris Celi.
SHA-1 był jednym z siedmiu algorytmów wyznaczania wartości skrótu pierwotnie zatwierdzonych do użytku w federalnych standardach przetwarzania informacji (FIPS) 180-4. Kolejna wersja rządowego standardu, FIPS 180-5, będzie ostateczna do końca 2030 r. — i SHA-1 nie będzie w niej uwzględniony. Oznacza to, że po 2030 r. rząd federalny nie będzie mógł kupować urządzeń ani aplikacji nadal korzystających z SHA-1.
Deweloperzy muszą się upewnić, że ich aplikacje nie będą używać do tego czasu żadnych komponentów obsługujących SHA-1. Chociaż może się wydawać, że jest dużo czasu na wprowadzanie aktualizacji, programiści muszą przesłać aplikacje, aby uzyskać certyfikat zgodności z wymogami FIPS. NIST powiedział, że lepiej jest przejść weryfikację i ponowną certyfikację wcześniej niż później, ponieważ mogą istnieć zaległości w poprawieniu kodu do przeglądu.
„Przeprowadzając przejście przed 31 grudnia 2030 r., interesariusze – w szczególności dostawcy modułów kryptograficznych – mogą pomóc zminimalizować potencjalne opóźnienia w procesie walidacji” – powiedział NIST.
Wraz z aktualizacją FIPS, NIST dokona przeglądu Specjalna publikacja NIST (SP) 800-131A aby odzwierciedlić fakt, że SHA-1 został wycofany, i opublikuje strategię przejścia do sprawdzania poprawności modułów i algorytmów kryptograficznych.
SHA-1 jest w drodze od lat. Główne przeglądarki internetowe przestały obsługiwać certyfikaty cyfrowe oparte na SHA-1 w 2017 r. Microsoft usunął SHA-1 z Windows Update w 2020 r. Jednak nadal istnieją starsze aplikacje obsługujące SHA-1.
Podczas gdy haszowanie ma być jednokierunkowe i nieodwracalne, osoby atakujące pobrały skróty SHA-1 wspólnych ciągów znaków i zapisały je w tabelach wyszukiwania, dzięki czemu przeprowadzanie ataków opartych na słownikach jest trywialne.
Ponadto ataki kolizyjne – początkowo opisane jako atak teoretyczny w 2005 r. – stały się bardziej praktyczne w 2017 r. Podczas gdy poszczególne ciągi znaków generują przez większość czasu unikalne skróty, atak kolizyjny tworzy sytuację, w której dwie różne wiadomości generują tę samą wartość skrótu, umożliwiając atakującym użyj innego ciągu, aby złamać hash.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
