Пришло время отказаться от SHA-1 или алгоритма безопасного хэширования-1, заявляет Национальный институт стандартов и технологий США (NIST). NIST установил дату 31 декабря 2030 г. удалить поддержку SHA-1 со всех программных и аппаратных устройств.
Когда-то широко используемый алгоритм теперь легко взломать, что делает его небезопасным для использования в контексте безопасности. NIST объявил устаревшим SHA-1 в 2011 году и запретил использование SHA-1 при создании или проверке цифровых подписей в 2013 году.
«Мы рекомендуем всем, кто полагается на SHA-1 для обеспечения безопасности, как можно скорее перейти на SHA-2 или SHA-3», — говорится в заявлении компьютерного специалиста NIST Криса Сели.
SHA-1 был одним из семи алгоритмов хеширования, первоначально одобренных для использования в Федеральных стандартах обработки информации (FIPS) 180-4. Следующая версия государственного стандарта, FIPS 180-5, будет окончательной к концу 2030 года, и SHA-1 не будет включен в эту версию. Это означает, что после 2030 года федеральному правительству не будет разрешено покупать устройства или приложения, все еще использующие SHA-1.
Разработчики должны убедиться, что к тому времени их приложения не используют компоненты, поддерживающие SHA-1. Хотя может показаться, что для внесения обновлений достаточно времени, разработчикам необходимо представить приложения для сертификации на соответствие требованиям FIPS. По словам NIST, лучше пройти проверку и повторную сертификацию раньше, чем позже, поскольку может возникнуть задержка пересмотренного кода для проверки.
«Завершив переход до 31 декабря 2030 года, заинтересованные стороны, особенно поставщики криптографических модулей, могут помочь свести к минимуму возможные задержки в процессе проверки», — говорится в сообщении NIST.
Наряду с обновлением FIPS, NIST пересмотрит Специальная публикация NIST (SP) 800-131A чтобы отразить тот факт, что SHA-1 был отозван, и опубликует стратегию перехода для проверки криптографических модулей и алгоритмов.
SHA-1 уже много лет находится на грани исчезновения. Основные веб-браузеры перестали поддерживать цифровые сертификаты на основе SHA-1 в 2017 году. Microsoft удалила SHA-1 из Центра обновления Windows в 2020 году. Но все еще существуют устаревшие приложения, поддерживающие SHA-1.
Хотя предполагается, что хеширование является односторонним и необратимым, злоумышленники берут хэши SHA-1 общих строк и сохраняют их в таблицах поиска, что упрощает запуск атак на основе словаря.
Кроме того, атаки столкновений, первоначально описанные как теоретическая атака в 2005 году, стали более практичными в 2017 году. Хотя отдельные строки в большинстве случаев создают уникальные хэши, атака столкновений создает ситуацию, когда два разных сообщения генерируют одно и то же значение хеш-функции, что позволяет злоумышленникам используйте другую строку, чтобы взломать хэш.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
