Amerika Birleşik Devletleri’ndeki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), son 27 yıldır güvenlik amacıyla kullanılan savunmasız bir algoritma olan Secure Hash Technique-1’i (SHA-1) kullanmayı bırakma zamanının geldiğini duyurdu. . Güvenliğinizle ilgili endişeleriniz varsa ve hala SHA-1 kullanıyorsanız, mümkün olan en kısa sürede SHA-2 veya SHA-3’e geçmenizi önemle tavsiye ederiz.
Zamanındalık söz konusu olduğunda, “mümkün olan en kısa sürede” çoğu zaman o kadar da kısa değildir: NIST’e göre, 2030 yılı sonuna kadar SHA-1’i tüm yazılımlarınızdan ve sistemlerinizden kaldırmalısınız. BT sektörü, büyük ölçüde, şimdiden yoluna devam etti. Federal Bilgi İşleme Standardı (FIPS) 180-4, yedi farklı hash algoritmasının kullanımına izin verir ve SHA-1 bu tür algoritmalardan biridir. SHA-1, 2030 yılının sonlarına doğru gerçekleşecek olan hükümetin hash standardı FIPS 180-5’in bir sonraki yükseltmesinden desteklenen bir özellik olarak kaldırılacaktır.
SP 800-131A’yı ve diğer ilgili NIST yayınlarını güncel hale getirmek ve SHA-1’in kullanımdan kaldırılmasını yansıtmak için NIST bu belgeleri güncellemeyi planlamaktadır. Ayrıca yakın gelecekte kriptografik modülleri ve algoritmaları doğrulamak için bir geçiş planı yayınlamayı planlıyor. Bir SHA-1 karması oluşturmak için, belirsiz uzunluktaki bir mesajı, 160 bitten oluşan ve genellikle 40 onaltılık basamakla temsil edilen sabit uzunlukta bir mesaj özetine çevirin. Bu, sabit uzunlukta bir SHA-1 karması üretecektir.
Karmaların tersine çevrilebilir olması amaçlanmasa da, “şifre” gibi temel mesaj girişleri önceden hesaplanabilir ve arama tablolarında tutulabilir, bu da sözlükte saklanan giriş mesajlarının ilgili karma özetlerden çıkarılmasını kolaylaştırır – artırılmış için ekstra bir değerle eşleştirilmiş güvenlik.
2005’te yayınlanan ve 2017’de uygulanabilir hale gelen teorik bir çarpışma saldırısı nedeniyle [PDF]Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), SHA-1’i 2011’de kullanımdan kaldırdı ve birkaç istisna dışında, 2013’te dijital imzaların üretimi ve doğrulanmasında kullanımını yasakladı.
Çarpışma saldırısı, iki farklı mesaj girdi olarak hizmet ettiğinde, ancak işlendiğinde aynı hash değeriyle sonuçlandığında meydana gelir. Çarpışmalar, verilerin benzersizliği hakkında yapılan güvenlik varsayımlarıyla çeliştiği için dijital imzalar ve dosya sağlama toplamları gibi uygulamalar için istenmez. İyi bir program ve kötü amaçlı bir uygulama aynı hash değerine sahip olduğunda, sistemin güvenliği tehlikeye girer.
2015 yılına gelindiğinde Facebook, Google, Microsoft ve Mozilla gibi büyük şirketler SHA-1 ile bağlarını koparmak için şimdiden hazırlıklara başlamışlardı. 2017’de çevrimiçi tarayıcıların çoğu nihayet SHA-1 sertifikaları desteğini bıraktı; yine de sektörün geri kalanının bu gelişmeyi yakalaması biraz zaman aldı.
Kusurları olduğu kabul edilmesine rağmen, SHA-1 son yıllarda eski programları desteklemek ve ortalamanın altında parola depolaması sağlamak için daha sık kullanılmaktadır. Ağustos 2020’de Microsoft nihayet SHA-1 karma algoritmasını Windows güncelleme sürecinden kaldıracak.
SHA-1, mevcut uygulamalardaki kullanımı oldukça düşük olmasına rağmen hala kolayca erişilebilir durumdadır. Üreticiler için kriptografik algoritmaları değerlendiren NIST Kriptografik Algoritma Doğrulama Programı, son beş yılda sertifikalandırılmış ve halen SHA-1 standardını destekleyen 2.272 kriptografik modülden oluşmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.