Přestaňte používat šifrování SHA1, varuje Google

Novinky |

Bezpečnostní experti Googlu dosáhli prvního kolizního útoku proti hashové funkci SHA-1 v reálném světě, a vytvořili dva různé PDF soubory s tou samou signaturou SHA-1.

Přestaňte používat šifrování SHA1, varuje Google







Tento pokus dokazuje, že s používáním tohoto algoritmu pro bezpečnostně citlivé funkce by se mělo co nejdříve přestat.

Algoritmus SHA-1 (Secure Hash Algorithm 1) pochází z roku 1995, a je o něm známo, že je zranitelný vůči teoretickým útokům, od roku 2005. Ve federálních úřadech Spojených států mají zákaz používat SHA-1 od roku 2010, na úřadech vydávajících digitální certifikáty pak certifikáty podepsané SHA-1 nemohou využívat s jistými výjimkami od 1. ledna 2016.

I přes výše uvedené je však SHA-1 v některých oblastech stále běžné, například u validace transakcí pomocí platebních karet, elektronických dokumentů, e-mailových PGP/GPG signatur, open-source softwarových repozitářů, záloh a softwarových aktualizací.

Hashová funkce, jako je SHA-1, se využívá pro výpočet alfanumerického řetězce, který slouží jako kryptografická reprezentace souboru nebo úseku dat. Takový řetězec pak může sloužit jako digitální podpis, který má být unikátní a nevratný.

Pokud však slabina objevená v hashové funkci umožňuje vytvoření stejného řetězce u dvou souborů, je funkce považována za kryptograficky nefunkční, protože digitální otisky prstů jí generované mohou být podvržené a tudíž nedůvěryhodné. Útočníci by například mohli vytvořit nebezpečnou softwarovou aktualizaci, která by mohla být přijata a spuštěna aktualizačním mechanismem, který potvrzuje platnost aktualizací kontrolou digitálních podpisů.

Zdroj: PCWorld.com



Úvodní foto: © agsandrew - Fotolia.com













Komentáře