Tento pokus dokazuje, že s používáním tohoto algoritmu pro bezpečnostně citlivé funkce by se mělo co nejdříve přestat.
Algoritmus SHA-1 (Secure Hash Algorithm 1) pochází z roku 1995, a je o něm známo, že je zranitelný vůči teoretickým útokům, od roku 2005. Ve federálních úřadech Spojených států mají zákaz používat SHA-1 od roku 2010, na úřadech vydávajících digitální certifikáty pak certifikáty podepsané SHA-1 nemohou využívat s jistými výjimkami od 1. ledna 2016.
I přes výše uvedené je však SHA-1 v některých oblastech stále běžné, například u validace transakcí pomocí platebních karet, elektronických dokumentů, e-mailových PGP/GPG signatur, open-source softwarových repozitářů, záloh a softwarových aktualizací.
Hashová funkce, jako je SHA-1, se využívá pro výpočet alfanumerického řetězce, který slouží jako kryptografická reprezentace souboru nebo úseku dat. Takový řetězec pak může sloužit jako digitální podpis, který má být unikátní a nevratný.
Pokud však slabina objevená v hashové funkci umožňuje vytvoření stejného řetězce u dvou souborů, je funkce považována za kryptograficky nefunkční, protože digitální otisky prstů jí generované mohou být podvržené a tudíž nedůvěryhodné. Útočníci by například mohli vytvořit nebezpečnou softwarovou aktualizaci, která by mohla být přijata a spuštěna aktualizačním mechanismem, který potvrzuje platnost aktualizací kontrolou digitálních podpisů.
Zdroj: PCWorld.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU