آسیب پذیری الگوریتم رمزنگاری هش SHA-1

بسیاری از سایت هایی که در دنیا وجود دارند از این نوع الگوریتم استفاده می کنند. این الگوریتن به منظور صحت داده ها استفاده می شود. یک الگوریتم ناقص برای مهاجمان این امکان را فراهم می کند که certificates های جعلی ایجاد کنند. در حملات قبلی علیه الگوریتم هش MD5، مهاجم می توانست به certificatesهای جعلی دسترسی داشته باشد؛ لذا این موضوع باعث شد تا متخصصان به منظور جلوگیری از پدید آمدن مشکل مشابه اقدام کنند.

این در حالی است که متخصصان در سال 2012 چگونگی هک این الگوریتم را تشریح کرده بودند و در نوامبر 2013 شرکت مایکروسافت اعلام رسمی می کند که بعد از سال 2016 شروع به حذف تدریجی الگوریتم هش SHA-1  می کند. آسیب پذیری مذکور این الزام را می‌آورد که تمامی مجوزها (certificate authorities) از این بستر خارج شوند و از بستر دیگری ( استفاده از SHA-256) به منظور رمزنگاری استفاده کنند. به منظور برسسی تاثیر این آسیب پذیری بر روی تجهیزات در دنیا، شکل زیر گویای مطلب خواهد بود. از طرفی آماری که به چشم می خورد این است که تنها فقط 14.8% از وب سایت ها از SHA256 استفاده می کنند.

با توجه به اهمیت این موضوع، بروس اشنییر اذعان می کند که تا سال 2018 بودجه ای برای مقابله با سندیکای مجرمان در حملات collision اختصاص خواهد یافت. همچنین تا سال 2021 هم پروژه های تحقیقاتی در دانشگاه ها تعریف خواهد شد.

در ارستای این اتفاقات، شرکت مایکروسافت به همراه دیگر غول های IT دنیا از جمله گوگل و مازیلا به این نتیجه رسیدند که وب سایت هایی که از SHA-1 استفاده می کنند را جریمه کنند. این موضوع ادمین وب سایت ها رو ملزم می کند تا از الگوریتم هایی نظیر SHA-256, SHA-384, or SHA-512  برای Certification Authorities استفاده کنند.

NIST و غول های بزرگ IT پیشنهاد می کنند که:

• Certificatesهای دیجیتال خود را فهرست کنند (این کار توسط ابزارهایی به صورت اتوماتیک قابل  اجراست) که بتوانند از این طریق شبکه شرکت را اسکن کنند.
• SHA1 که تا بعد از 2015 منقضی می شود را با یک الگوریتم دیگر جایگزین کند.
• از سرورهایی که می توانند از SHA256 استفاده کنند، بکارگیری شود و یا اینکه پچ ها را بر روی سرورها نصب کنند.