MKD-CIRT National Centre for Computer Incident Response
Криптографската хеш-функција SHA-1 (Secure Hash Algorithm 1) е официјално прогласена за застарена, откако Google го објави првиот успешен напад со колизија. SHA-1 е безбедносен алгоритам кој генерира криптографски хеш-вредности од дигитални податоци, кои се користат, меѓудругото, за потврдување на автентичност на датотека.
Хеш-функцијата SHA-1 е развиена од страна на NSA (Агенцијата за национална безбедност на Соединетите американски држави), а алгоритамот е објавен во 1995 година.
Во 2005-та година за првпат се откриени теоретски пропусти во овој алгоритам, кои можат да послужат за пробивање на SHA-1 со помош на т.н напади со колизија. Кај нападите со колизија, напаѓачот генерира нова, компромитирана датотека со иста хеш-вредност како валидната датотека, а потоа ја заменува валидната со комромитираната датотека.
Иако и претходно криптоаналитичарите препорачуваа замена на SHA-1 со поновите SHA-2 i SHA-3 безбедносни алгоритми, сериозен пад на популарноста на SHA-1 се случи во 2015 година, кога e објавен истражувачкиот труд The SHAppening. Во истражувањето научниците покажаа дека технологијата е напредната до тоа ниво што за пробивање на SHA-1 со колизија се потребни помеѓу 49 и 78 дена на 512-GPU кластер. Изнајмување на еквивалентната услуга на Амазон EC2 би чинело помеѓу $75.000 и $120.000. Веднаш по објавата на истражувањето, компаниите како Mozilla, Microsoft и Google започнаа со забрзан процес за замена на SHA-1 како хеш-функција во TLS/SSL сертификатите.
Заради понатамошни истражувања во оваа насока, Google им понудил помош на истражувачите кои работеле на The SHAppening. Искористувајки ја огромната пресметувачка моќ на Google, тимот од стручни лица во февруари 2017 година објави ново истражување во кој е детално опишан нападот на SHA-1 со колизија. Како доказ за првата успешна SHA-1 колизија, истражувачите објавија два различни PDF датотеки со ист SHA-1 хеш-вредност.
Инженерите од Google го опишуваат успешниот напад на SHA-1 со колизија како една од најголемите компјутерски пресметки кои се направени досега. На ова може да се гледа на како добра вест, затоа што ретко кој може да парира на пресметувачката моќ на Google.
Google планира да го објави proof-of-concept кодот кој е користен при нападот на SHA-1 со колизија во рок од 90 дена, со што се остава простор за компаниите да преминат на подобри безбедносни алгоритми.
Извор: bleepingcomputer.com