Ticaret Bakanlığı bünyesindeki bir kurum olan ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), ilan edildi Perşembe günü, SHA-1 kriptografik algoritmasını resmi olarak kullanımdan kaldırıyor.
SHA-1Secure Hash Algorithm 1’in kısaltması, 27 yaşında Özet fonksiyonu Kriptografide kullanılan ve o zamandan beri sayılır bozuldu riski nedeniyle çarpışma saldırıları.
Hash’ler geri döndürülemez olacak şekilde tasarlanırken – yani sabit uzunluktaki şifrelenmiş metinden orijinal mesajı yeniden oluşturmanın imkansız olması gerektiği anlamına gelir – SHA-1’deki çarpışma direncinin olmaması, iki farklı girdi için aynı hash değerinin üretilmesini mümkün kılmıştır.
Şubat 2017’de CWI Amsterdam ve Google’dan bir grup araştırmacı ifşa algoritmanın güvenliğini etkili bir şekilde baltalayan SHA-1’de çarpışmalar oluşturmak için ilk pratik teknik.
“Örneğin, iki çatışan PDF dosyasını farklı kiraya sahip iki kira sözleşmesi olarak hazırlayarak, birini düşük kira sözleşmesi imzalatarak yüksek kira sözleşmesi için geçerli bir imza oluşturması için kandırmak mümkündür.” araştırmacılar söz konusu zamanında.
SHA-1’e kriptanalitik saldırılar istendi NIST, 2015 yılında ABD’deki federal kurumları dijital imzalar, zaman damgaları ve çarpışma direnci gerektiren diğer uygulamalar oluşturmak için algoritmayı kullanmayı bırakmaya mecbur edecek.
NIST’in Kriptografik Algoritma Doğrulama Programına göre (CAVPOnaylanmış kriptografik algoritmaların bir listesini düzenleyen ), 2.272 kütüphane Ocak 2018’den beri akredite olan ve hala SHA-1’i destekleyen.
Algoritmaya güvenen kullanıcıları elektronik bilgilerin güvenliğini sağlamak için SHA-2 veya SHA-3’e geçmeye teşvik etmenin yanı sıra NIST, SHA-1’in 31 Aralık 2030’a kadar tamamen aşamalı olarak kaldırılmasını da tavsiye ediyor.
“2030’dan sonra hala SHA-1 kullanan modüller satın alınmasına izin verilir NIST bilgisayar bilimcisi Chris Celi, “Şirketlerin, artık SHA-1 kullanmayan güncellenmiş modülleri sunmak için sekiz yılı var.”