Mellékleteink: HUP | Gamekapocs
Keres
Reagáltunk az igényekre: 40 órás Java képzést indítunk haladóknak szeptember 13-án!

A Microsoft is előrébb hozta az SHA-1-támogatás végét

Hlács Ferenc, 2015. november 09. 11:37

Már jövő nyáron megkezdheti az SHA-1-et alkalmazó tanúsítványok blokkolását a Microsoft. A Google és a Mozilla után a redmondi cég is igyekszik minél előbb megszabadulni az elavult hash algoritmustól, miután az a korábban vártnál jóval komolyabb biztonsági kockázatot hordoz.

A vártnál hamarabb búcsúzik a Microsoft az SHA-1 hash algoritmust használó TLS tanúsítványoktól, miután azok védelme egyre gyengébb lábakon áll. A vállalat múlt héten egy blogposztban jelentette be, hogy az tervezett, 2017. január 1-i dátum helyett akár már jövő júniustól elkezdheti blokkolni az SHA-1-es tartalmakat.

Ahogy arról korábban beszámoltunk, a szóban forgó, elterjedt hash-függvénynek a biztonsági szakemberek nem jósolnak túl hosszú jövőt, sőt már most annak leváltására biztatnak. A Google már tavaly szeptemberben felvázolt egy tempós ütemtervet, amelynek keretei között 2-3 év alatt teljesen kiirtaná az SHA-1-et használó tanúsítványokat a piacról - a Chrome böngésző ennek megfelelően a 39-es verziószám óta minden ilyen tanúsítványt potenciálisan veszélyesként jelöl meg.

A sorba ugyancsak tavaly ősszel a Mozilla is beállt, a vállalat akkor azt ígérte, három lépcsőben iktatja ki az algoritmus jelentette biztonsági kockázatokat: elsőként egy biztonsági figyelmeztetést tesz közzé a Firefox böngésző fejlesztők által használt Web Console felületén, amelyben az SHA-1 leváltására szólítja fel azokat. A második lépést egy a Firefoxbban megjelenő "Ez a kapcsolat nem megbízható" vagy "Untrusted Connection" hibaüzenet jelenti, amely a 2016. január 1. után kibocsátott SHA-1-es tanúsítvánnyal rendelkező weboldalakra navigálva ugrik fel.

Ezeket a biztonsági funkciókat a cég októberi bejelentése szerint már beépítette böngészőjébe, a harmadik és egyben utolsó csapást pedig legkésőbb 2017 januárjában méri az algoritmusra, attól kezdve ugyanis minden SHA-1-es tanúsítványt használó oldalt nem megbízhatóként jelöl majd. Utóbbi dátum ugyanakkor szerencsére úgy tűnik nincs kőbe vésve, a Mozilla ugyanis a Microsofthoz hasonlóan azt fontolgatja, előrébb hozza a támogatás megszüntetését, és már 2016 júliusában búcsút int az algoritmusnak.

A cégeket az utóbbi hetekben az SHA-1 kapcsán felmerült, a korábban véltnél jelentősen komolyabb biztonsági problémák késztetik a támogatás minél gyorsabb megvonására. Az algoritmus - illetve általában a hash-függvények - feladata, hogy egy egyedi, reprodukálható azonosítót kapcsoljon adott adathalmazokhoz. A biztonság kulcsa az egyediség, azaz minél nehezebb legyen olyan bemeneti értéket találni, amelyhez a függvény az eredetivel megegyező hash-t dob ki (ez az ütközés, collision). Az azonos kimeneti értékek vagy ütközések ugyanis lehetővé teszik az adott algoritmussal védett tanúsítványok hamisítását.

Miután az SHA-1 esetében egy mintegy húszéves algoritmusról van szó, nem csoda, hogy mára a számítógépek teljesítményének rohamos növekedése, különösen az általános számításokra befogható GPU-k elérhető távolságba hozták annak megtörését és az ütközések előállítását. A három évvel ezelőtti becslések még arról szóltak, hogy az ütközések 2018-ra nagyjából 170 ezer dolláros költségből lesznek generálhatók, ma viszont már úgy látszik, egy-egy ilyen támadás már most megvalósítható lenne, ráadásul a fent említettnél jelentősen olcsóbban, 75-120 ezer dollár környékén. Ez az összeg már bőven megfizethető az egyes állami hatóságok számára, amelyek ráadásul saját infrastruktúrát is igénybe tudnak venni az ütközések előállításához.

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Tudod mennyit keres egy jó Java-fejlesztő? Tudod mennyi nyitott pozíció van csak itthon? A kereslet nagy, a kínálat kicsi. Reagáltunk az igényekre.