Ticaret Bakanlığı'na bağlı bir kurum olan ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Perşembe günü SHA-1 kriptografik algoritmasını resmen kullanımdan kaldırdığını duyurdu.
Secure Hash Algorithm 1'in kısaltması olan SHA-1, kriptografide kullanılan 27 yıllık bir hash fonksiyonudur ve o zamandan beri çarpışma saldırıları riski nedeniyle kırılmış olarak kabul edilmektedir.
Hash'ler geri döndürülemez olarak tasarlanmış olsa da - yani sabit uzunluktaki şifrelenmiş metinden orijinal mesajı yeniden oluşturmak imkansız olmalıdır - SHA-1'deki çarpışma direnci eksikliği, iki farklı girdi için aynı hash değerini üretmeyi mümkün kılmıştır.
Şubat 2017'de CWI Amsterdam ve Google'dan bir grup araştırmacı, SHA-1'de çarpışma üretmeye yönelik ilk pratik tekniği ortaya çıkararak algoritmanın güvenliğini etkili bir şekilde zayıflattı.
Araştırmacılar o dönemde "Örneğin, çarpışan iki PDF dosyasını farklı kiralara sahip iki kira sözleşmesi olarak hazırlayarak, bir kişiye düşük kiralı bir sözleşme imzalatarak yüksek kiralı bir sözleşme için geçerli bir imza oluşturması için kandırmak mümkündür" demişti.
SHA-1'e yönelik kriptanalitik saldırılar, 2015 yılında NIST'in ABD'deki federal kurumlara bu algoritmayı dijital imza, zaman damgası ve çarpışma direnci gerektiren diğer uygulamalarda kullanmamaları yönünde talimat vermesine yol açmıştı.
NIST'in onaylı kriptografik algoritmaların bir listesini oluşturan Kriptografik Algoritma Doğrulama Programı'na (CAVP) göre, Ocak 2018'den bu yana akredite olan ve hala SHA-1'i destekleyen 2.272 kütüphane var.
NIST, elektronik bilgilerin güvenliğini sağlamak için bu algoritmaya güvenen kullanıcıları SHA-2 veya SHA-3'e geçmeye çağırmanın yanı sıra, SHA-1'in 31 Aralık 2030'a kadar tamamen kullanımdan kaldırılmasını da öneriyor.
NIST bilgisayar bilimcisi Chris Celi, "2030'dan sonra hala SHA-1 kullanan modüllerin federal hükümet tarafından satın alınmasına izin verilmeyecek" dedi. "Şirketlerin artık SHA-1 kullanmayan güncellenmiş modülleri sunmak için sekiz yılları var."
hackernews'dan alıntıdır.
Kayıtlar
Hiç yorum yok:
Yorum Gönder