A Microsoft is előrébb hozta az SHA-1-támogatás végét
Már jövő nyáron megkezdheti az SHA-1-et alkalmazó tanúsítványok blokkolását a Microsoft. A Google és a Mozilla után a redmondi cég is igyekszik minél előbb megszabadulni az elavult hash algoritmustól, miután az a korábban vártnál jóval komolyabb biztonsági kockázatot hordoz.
A vártnál hamarabb búcsúzik a Microsoft az SHA-1 hash algoritmust használó TLS tanúsítványoktól, miután azok védelme egyre gyengébb lábakon áll. A vállalat múlt héten egy blogposztban jelentette be, hogy az tervezett, 2017. január 1-i dátum helyett akár már jövő júniustól elkezdheti blokkolni az SHA-1-es tartalmakat.
Ahogy arról korábban beszámoltunk, a szóban forgó, elterjedt hash-függvénynek a biztonsági szakemberek nem jósolnak túl hosszú jövőt, sőt már most annak leváltására biztatnak. A Google már tavaly szeptemberben felvázolt egy tempós ütemtervet, amelynek keretei között 2-3 év alatt teljesen kiirtaná az SHA-1-et használó tanúsítványokat a piacról - a Chrome böngésző ennek megfelelően a 39-es verziószám óta minden ilyen tanúsítványt potenciálisan veszélyesként jelöl meg.
Kafka és CI/CD alapozó online képzéseket indít a HWSW! Ősszel 6 alkalmas, 18 órás Kafka és CI/CD alapozó képzéseket indít a HWSW. Most early bird kedvezménnyel jelentkezhetsz!
A sorba ugyancsak tavaly ősszel a Mozilla is beállt, a vállalat akkor azt ígérte, három lépcsőben iktatja ki az algoritmus jelentette biztonsági kockázatokat: elsőként egy biztonsági figyelmeztetést tesz közzé a Firefox böngésző fejlesztők által használt Web Console felületén, amelyben az SHA-1 leváltására szólítja fel azokat. A második lépést egy a Firefoxbban megjelenő "Ez a kapcsolat nem megbízható" vagy "Untrusted Connection" hibaüzenet jelenti, amely a 2016. január 1. után kibocsátott SHA-1-es tanúsítvánnyal rendelkező weboldalakra navigálva ugrik fel.
Ezeket a biztonsági funkciókat a cég októberi bejelentése szerint már beépítette böngészőjébe, a harmadik és egyben utolsó csapást pedig legkésőbb 2017 januárjában méri az algoritmusra, attól kezdve ugyanis minden SHA-1-es tanúsítványt használó oldalt nem megbízhatóként jelöl majd. Utóbbi dátum ugyanakkor szerencsére úgy tűnik nincs kőbe vésve, a Mozilla ugyanis a Microsofthoz hasonlóan azt fontolgatja, előrébb hozza a támogatás megszüntetését, és már 2016 júliusában búcsút int az algoritmusnak.
A cégeket az utóbbi hetekben az SHA-1 kapcsán felmerült, a korábban véltnél jelentősen komolyabb biztonsági problémák késztetik a támogatás minél gyorsabb megvonására. Az algoritmus - illetve általában a hash-függvények - feladata, hogy egy egyedi, reprodukálható azonosítót kapcsoljon adott adathalmazokhoz. A biztonság kulcsa az egyediség, azaz minél nehezebb legyen olyan bemeneti értéket találni, amelyhez a függvény az eredetivel megegyező hash-t dob ki (ez az ütközés, collision). Az azonos kimeneti értékek vagy ütközések ugyanis lehetővé teszik az adott algoritmussal védett tanúsítványok hamisítását.
Miután az SHA-1 esetében egy mintegy húszéves algoritmusról van szó, nem csoda, hogy mára a számítógépek teljesítményének rohamos növekedése, különösen az általános számításokra befogható GPU-k elérhető távolságba hozták annak megtörését és az ütközések előállítását. A három évvel ezelőtti becslések még arról szóltak, hogy az ütközések 2018-ra nagyjából 170 ezer dolláros költségből lesznek generálhatók, ma viszont már úgy látszik, egy-egy ilyen támadás már most megvalósítható lenne, ráadásul a fent említettnél jelentősen olcsóbban, 75-120 ezer dollár környékén. Ez az összeg már bőven megfizethető az egyes állami hatóságok számára, amelyek ráadásul saját infrastruktúrát is igénybe tudnak venni az ütközések előállításához.