É hora de aposentar o SHA-1, ou Secure Hash Algorithm-1, afirma o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). O NIST definiu a data de 31 de dezembro de 2030 para remover o suporte SHA-1 de todos os dispositivos de software e hardware.
O algoritmo outrora amplamente utilizado agora é fácil de decifrar, tornando seu uso inseguro em contextos de segurança. O NIST descontinuou o SHA-1 em 2011 e proibiu o uso de SHA-1 ao criar ou verificar assinaturas digitais em 2013.
“Recomendamos que qualquer pessoa que dependa do SHA-1 para segurança migre para o SHA-2 ou SHA-3 o mais rápido possível”, disse o cientista da computação do NIST, Chris Celi, em um comunicado.
SHA-1 estava entre os sete algoritmos hash originalmente aprovados para uso no Federal Information Process Standards (FIPS) 180-4. A próxima versão do padrão governamental, FIPS 180-5, será finalizada até o final de 2030 – e o SHA-1 não será incluído nessa versão. Isso significa que depois de 2030, o governo federal não terá permissão para comprar dispositivos ou aplicativos que ainda utilizem SHA-1.
Os desenvolvedores precisam garantir que seus aplicativos não usem nenhum componente que suporte SHA-1 nesse momento. Embora possa parecer muito tempo para fazer atualizações, os desenvolvedores precisam enviar os aplicativos para serem certificados como atendendo aos requisitos FIPS. É melhor ser verificado e recertificado mais cedo ou mais tarde, pois pode haver um acúmulo de código revisado para revisão, disse o NIST.
“Ao concluir a transição antes de 31 de dezembro de 2030, as partes interessadas – especialmente os fornecedores de módulos criptográficos – podem ajudar a minimizar possíveis atrasos no processo de validação”, disse o NIST.
Junto com a atualização do FIPS, o NIST revisará Publicação Especial NIST (SP) 800-131A para refletir o fato de que o SHA-1 foi retirado e publicará uma estratégia de transição para validação de módulos e algoritmos criptográficos.
O SHA-1 está em extinção há anos. Os principais navegadores da web pararam de oferecer suporte a certificações digitais baseadas em SHA-1 em 2017. A Microsoft retirou o SHA-1 do Windows Update em 2020. Mas ainda existem aplicativos legados que oferecem suporte a SHA-1.
Embora o hash deva ser unidirecional e não reversível, os invasores pegaram hashes SHA-1 de strings comuns e os armazenaram em tabelas de pesquisa, tornando trivial o lançamento de ataques baseados em dicionário.
Além disso, os ataques de colisão – inicialmente descritos como um ataque teórico em 2005 – tornaram-se mais práticos em 2017. Embora cadeias individuais produzam hashes únicos na maioria das vezes, o ataque de colisão cria uma situação em que duas mensagens diferentes geram o mesmo valor de hash, permitindo aos atacantes use uma string diferente para quebrar o hash.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
