Недавно было принято решение об отказе от алгоритма хеширования SHA-1. Об этом сообщили представители Национального института стандартов и технологий США (NIST). Судя по всему, всем компаниям придется отказаться от SHA-1 до 2030 года. В противном случае их могут ждать большие проблемы с контрактами. Об этом заявил эксперт, который ведет курс по кибербезопасности секреты хакеров Казахстан.
Что не так с SHA-1, курс по кибербезопасности секреты хакеров Казахстан
Начать стоит с того, что еще в 2005 году эксперты тщательно проанализировали этот алгоритм хеширования. И пришли к неутешительным выводам. По всей видимости, хакеры с определенными умениями могли его взломать. Для этого им достаточно было создать файл с точно таким же хешем, как в оригинале, и заменить настоящий. Однако на тот момент не было зафиксировано ни одной атаки с применением взлома SHA-1. Потому экспертам, которые вели курсы информационная безопасность и защита Казахстан, пришлось отступить.
Тем не менее, уже в 2017 году выпустили отчет, полностью подтверждающий предыдущие выводы аналитиков. В этот раз за дело взялись эксперты из компании Google. Они обратились к ученым из нидерландского Центра математики и информатики. Те тщательно проанализировали криптографический алгоритм и сообщили, что он действительно уязвим перед хакерами. И это не удивительно, ведь алгоритм SHA-1 был создан еще в 1995 году. Ученые смогли разработать атаку SHAttered, которая позволяла относительно легко скомпрометировать хеш-функцию. Специалисты подробно изложил свои выводы в отчете, однако даже они не смогли вытеснить SHA-1 с рынка.
Позднее, в 2019 году, группа ученых из Франции и Сингапура решила проверить данные из отчета. В результате они не только смогли повторить атаку SHAttered, но и модернизировать ее. Новый способ позволял совершить взлом без специальных знаний и навыков. То есть по сути теперь узнать содержимое закодированного файла мог любой хакер. Безусловно, подобное не могло продолжаться бесконечно. И вскоре эксперты смогли достучаться до мирового сообщества.
Что теперь будет с SHA-1
На данный момент алгоритмом хеширования SHA-1 пользуется огромное количество компаний во всем мире. Причина заключается в том, что он появился на рынке первым, а потому стал доступен всем желающим. Сейчас этим алгоритмом защищают:
- цифровые подписи;
- временные метки;
- различные операции.
Более того, существует по меньшей мере 2200 библиотек, продолжающих использовать SHA-1. Это значит, что огромное количество компаний во всем мире постоянно подвергается опасности. И это при том, что уже давно существуют аналоги, отличающиеся высоким уровнем безопасности. Речь идет об алгоритмах хеширования SHA-2 и SHA-3. О них много лет говорят эксперты, проводящие курсы обеспечения информационной безопасности Казахстан.
Стоит отметить, что многие федеральные агентства в США продолжают использовать SHA-1. Тогда как NIST неоднократно рекомендовал им переходить на более совершенные алгоритмы. Но поскольку самостоятельного отказа от SHA-1 не произошло, представители NIST решили жестко ограничить его использование. Они выпустили распоряжение, которое предписывает всем компаниям и избавиться от SHA-1 до конца декабря 2030 года. В противном случае их ждут отказы от контрактов, прекращение сотрудничества и даже штрафы. И эксперты, основавшие курсы обучения информационная безопасность Казахстан, полностью поддерживаю подобное решение.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.