ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), SHA-1’i veya Güvenli Karma Algoritma-1’i kullanımdan kaldırmanın zamanı geldiğini söylüyor. NIST, tarihi 31 Aralık 2030 olarak belirledi. SHA-1 desteğini tüm yazılım ve donanım cihazlarından kaldırmak için.
Bir zamanlar yaygın olarak kullanılan algoritmanın kırılması artık çok kolay ve bu da onu güvenlik bağlamlarında güvensiz hale getiriyor. NIST, 2011’de SHA-1’i kullanımdan kaldırdı ve 2013’te dijital imza oluştururken veya doğrularken SHA-1’in kullanılmasına izin verilmedi.
NIST bilgisayar bilimcisi Chris Celi yaptığı açıklamada, “Güvenlik için SHA-1’e güvenen herkesin mümkün olan en kısa sürede SHA-2 veya SHA-3’e geçmesini öneriyoruz.” Dedi.
SHA-1, Federal Bilgi İşlem Standartları (FIPS) 180-4’te kullanılmak üzere orijinal olarak onaylanan yedi karma algoritma arasında yer aldı. Hükümet standardının bir sonraki versiyonu olan FIPS 180-5, 2030’un sonuna kadar nihai hale gelecek ve SHA-1 bu versiyona dahil edilmeyecek. Bu, 2030’dan sonra federal hükümetin hala SHA-1 kullanan cihaz veya uygulamaları satın almasına izin verilmeyeceği anlamına geliyor.
Geliştiricilerin, uygulamalarının o zamana kadar SHA-1’i destekleyen herhangi bir bileşen kullanmadığından emin olmaları gerekir. Güncelleme yapmak için çok zaman var gibi görünse de, geliştiricilerin uygulamaları FIPS gereksinimlerini karşıladığının onaylanması için göndermeleri gerekir. NIST, gözden geçirilecek gözden geçirilmiş kod birikimi olabileceğinden, daha önce doğrulanıp yeniden sertifikalandırılmak daha sonraya göre daha iyidir, dedi.
NIST, “Paydaşlar, özellikle kriptografik modül satıcıları olmak üzere, geçişlerini 31 Aralık 2030’dan önce tamamlayarak, doğrulama sürecindeki olası gecikmeleri en aza indirmeye yardımcı olabilir” dedi.
FIPS güncellemesiyle birlikte, NIST revize edecek NIST Özel Yayını (SP) 800-131A SHA-1’in geri çekildiği gerçeğini yansıtmak için ve kriptografik modülleri ve algoritmaları doğrulamak için bir geçiş stratejisi yayınlayacak.
SHA-1 yıllardır çıkış yolunda. Başlıca web tarayıcıları, 2017’de SHA-1’e dayalı dijital sertifikaları desteklemeyi durdurdu. Microsoft, SHA-1’i 2020’de Windows Update’ten çıkardı. Ancak hala SHA-1’i destekleyen eski uygulamalar var.
Karma işlemin tek yönlü olması ve geri döndürülemez olması gerekirken, saldırganlar ortak dizelerin SHA-1 karmalarını alıp arama tablolarında depoladılar, bu da sözlük tabanlı saldırılar başlatmayı önemsiz hale getirdi.
Ayrıca, ilk olarak 2005’te teorik bir saldırı olarak tanımlanan çarpışma saldırıları, 2017’de daha pratik hale geldi. Bireysel diziler çoğu zaman benzersiz hash’ler üretirken, çarpışma saldırısı, iki farklı mesajın aynı hash değerini ürettiği bir durum yaratarak saldırganların karmayı kırmak için farklı bir dize kullanın.