Ticaret Bakanlığı bünyesindeki bir kurum olan ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Perşembe günü SHA-1 kriptografik algoritmasını resmi olarak kullanımdan kaldırdığını duyurdu.
Secure Hash Algorithm 1’in kısaltması olan SHA-1, kriptografide kullanılan 27 yıllık bir hash işlevidir ve o zamandan beri çarpışma saldırıları riski nedeniyle bozuk kabul edilmiştir.
Hash’ler geri döndürülemez olacak şekilde tasarlanırken – yani sabit uzunluktaki şifrelenmiş metinden orijinal mesajı yeniden oluşturmanın imkansız olması gerektiği anlamına gelir – SHA-1’deki çarpışma direncinin olmaması, iki farklı girdi için aynı hash değerinin üretilmesini mümkün kılmıştır.
Şubat 2017’de, CWI Amsterdam ve Google’dan bir grup araştırmacı, SHA-1’de çarpışmalar oluşturmak için algoritmanın güvenliğini etkili bir şekilde baltalayan ilk pratik tekniği açıkladı.
“Örneğin, iki çatışan PDF dosyasını farklı kiraya sahip iki kira sözleşmesi olarak hazırlayarak, birini düşük kira sözleşmesi imzalatarak yüksek kira sözleşmesi için geçerli bir imza oluşturması için kandırmak mümkündür.” araştırmacılar o zaman söyledi.
SHA-1’e yönelik kriptanalitik saldırılar, 2015 yılında NIST’in ABD’deki federal kurumları dijital imzalar, zaman damgaları ve çarpışma direnci gerektiren diğer uygulamaları oluşturmak için algoritmayı kullanmayı bırakması için yetkilendirmesine neden oldu.
Onaylanmış şifreleme algoritmalarının bir listesini düzenleyen NIST’in Kriptografik Algoritma Doğrulama Programına (CAVP) göre, Ocak 2018’den bu yana akredite edilmiş ve hala SHA-1’i destekleyen 2.272 kitaplık var.
NIST, kullanıcıları elektronik bilgileri güvence altına almak için SHA-2 veya SHA-3’e geçiş için algoritmaya güvenmeye teşvik etmenin yanı sıra, SHA-1’in 31 Aralık 2030’a kadar tamamen aşamalı olarak kaldırılmasını tavsiye ediyor.
NIST bilgisayar bilimcisi Chris Celi, “2030’dan sonra hala SHA-1 kullanan modüllerin satın alınmasına federal hükümet tarafından izin verilmeyecek” dedi. “Şirketlerin artık SHA-1 kullanmayan güncellenmiş modülleri sunmak için sekiz yılı var.”