Bir zamanlar yaygın olarak kullanılan algoritmanın kırılması artık çok kolay ve bu da onu güvenlik bağlamlarında güvensiz hale getiriyor. NIST, 2011’de SHA-1’i kullanımdan kaldırdı ve 2013’te dijital imza oluştururken veya doğrularken SHA-1’in kullanılmasına izin verilmedi.
NIST bilgisayar bilimcisi Chris Celi yaptığı açıklamada, “Güvenlik için SHA-1’e güvenen herkesin mümkün olan en kısa sürede SHA-2 veya SHA-3’e geçmesini öneriyoruz.” Dedi.
SHA-1, Federal Bilgi İşlem Standartları (FIPS) 180-4’te kullanılmak üzere orijinal olarak onaylanan yedi karma algoritma arasında yer aldı. Hükümet standardının bir sonraki versiyonu olan FIPS 180-5, 2030’un sonuna kadar nihai hale gelecek ve SHA-1 bu versiyona dahil edilmeyecek. Bu, 2030’dan sonra federal hükümetin hala SHA-1 kullanan cihaz veya uygulamaları satın almasına izin verilmeyeceği anlamına geliyor.
Geliştiricilerin, uygulamalarının o zamana kadar SHA-1’i destekleyen herhangi bir bileşen kullanmadığından emin olmaları gerekir. Güncelleme yapmak için çok zaman var gibi görünse de, geliştiricilerin uygulamaları FIPS gereksinimlerini karşıladığının onaylanması için göndermeleri gerekir. NIST, gözden geçirilecek gözden geçirilmiş kod birikimi olabileceğinden, daha önce doğrulanıp yeniden sertifikalandırılmak daha sonraya göre daha iyidir, dedi.
NIST, “Geçişlerini 31 Aralık 2030’dan önce tamamlayan paydaşlar, özellikle kriptografik modül satıcıları, doğrulama sürecindeki olası gecikmeleri en aza indirmeye yardımcı olabilir” dedi.
FIPS güncellemesinin yanı sıra NIST, NIST Özel Yayını (SP) 800-131A’yı SHA-1’in geri çekildiği gerçeğini yansıtacak şekilde revize edecek ve kriptografik modülleri ve algoritmaları doğrulamak için bir geçiş stratejisi yayınlayacaktır.
SHA-1 yıllardır çıkış yolunda. Başlıca web tarayıcıları, 2017’de SHA-1’e dayalı dijital sertifikaları desteklemeyi durdurdu. Microsoft, SHA-1’i 2020’de Windows Update’ten çıkardı. Ancak hala SHA-1’i destekleyen eski uygulamalar var.
Karma işlemin tek yönlü olması ve geri döndürülemez olması gerekirken, saldırganlar ortak dizelerin SHA-1 karmalarını alıp arama tablolarında depoladılar, bu da sözlük tabanlı saldırılar başlatmayı önemsiz hale getirdi.
Ayrıca, ilk olarak 2005’te teorik bir saldırı olarak tanımlanan çarpışma saldırıları, 2017’de daha pratik hale geldi. Tek tek diziler çoğu zaman benzersiz hash’ler üretirken, çarpışma saldırısı, iki farklı mesajın aynı hash değerini ürettiği bir durum yaratarak saldırganların karmayı kırmak için farklı bir dize kullanın.