Podobný krok již dříve uskutečnila Mozilla se svým Firefoxem, jakož i Google se svým Chromem. Výrobci prohlížečů a autority vydávající certifikáty se již pár let zpátky zapojili do koordinované snahy o postupné utlumení používání SHA-1 certifikátů na webu. Hashovací funkce již totiž není schopna poskytovat dostatečné zabezpečení proti spoofingu.
Secure Hash Algorithm 1 začal být používán už v roce 1995, o deset let později se pak zjistilo, že je teoreticky zranitelný vůči kybernetickým útokům. Americký úřad, který má na starosti standardy, zakázal americkým vládním institucím používat SHA-1 v roce 2010, certifikační autority pak tento standard definitivně pohřbily 1. ledna loňského roku. Tedy až na pár výjimek, jako jsou zastaralé platební terminály.
Hashovací funkce jako SHA-1 se používají pro výpočet alfanumerického řetězce, sloužícího jako kryptografická reprezentace souboru nebo kusu dat. Tento řetězec může zároveň fungovat jako digitální podpis pod podmínkou, aby byl jedinečný a nevratný.
V únoru ovšem experti z Googlu a nizozemského výzkumného centra CWI dokázali vytvořit dva PDF soubory se stejným řetězcem SHA-1. To bez jakékoliv pochybnosti dokázalo, že zastaralou hashovací funkci již nelze využívat pro citlivé aplikace.
Microsoft oznámil, že zákaz SHA-1 podepsaných certifikátů v IE a Edge ovlivní jen certifikáty, které jsou spojeny s kořenovým certifikátem v Microsoft Trusted Root programu.
Podnikové a „vlastnoručně“ podepsané SHA-1 certifikáty to prozatím neovlivní, nicméně dlouhodobým plánem Microsoftu je postupné úplné stažení SHA-1 z Windows, a to včetně dalšího využití funkce – ověřování integrity stažených souborů.
Zúčastněte našeho globálního bezpečnostního průzkumu na téma informační bezpečnosti s názvem The Global State of Information Security Survey 2018 a sdělte nám svůj názor! Průzkum je k dispozici v angličtině a devíti dalších světových jazycích a naleznete ho zde.
Zdroj: CIO.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU