يوصي معظم الخبراء بإهمال SHA-1 لبعض الوقت. لحسن الحظ ، تستخدم معظم مواقع الويب SHA-2 ، وهو إصدار أكثر تحديثًا وأقل ضعفًا من التكنولوجيا. جميع المراجع المصدقة ذات السمعة الطيبة ، مثل SSL.com ، تقاعدت من شهادات SHA-1 وتستخدم SHA-2.
جوجل تثبت ذلك: SHA-1 معطل
في 23 فبراير 2017 ، جاء الإعلان الذي ينتظره عالم التشفير أخيرًا. Google و Centrum Wiskunde & Informatica (CWI) أمستردام ، هولندا معهد البحوث للرياضيات وعلوم الحاسوبتعاونت لتثبت أن انعدام الأمن SHA-1 انتقلت من النظرية إلى المثبتة. أطلقت الفرق أ بيان مشترك على مدونة أمان Google التي توضح بالتفصيل كيف تسببوا في تصادم التجزئة.
يتم تحقيق تصادم التجزئة عندما يؤدي إدخالان مختلفان باستخدام التشفير إلى نتائج متطابقة ، مما يجعل التشفير ضعيفًا بشكل فعال ، حيث يمكن إدخال ملف ضار يخدع التشفير. حتى الآن ، تم إثبات إمكانية حدوث تصادمات "القوة الغاشمة" فقط ، ويقدر الخبراء أن هجمات القوة الغاشمة على SHA-1 تتطلب 12 مليون سنة من وحدة معالجة الرسومات (GPU) لإكمالها ، وهو ما يجعل القوة الغاشمة غير عملية. استغل فريق Google / CWI المشترك نقاط الضعف في SHA-1 لتسريع هذه العملية مائة ألف مرة. يوضح هذا بفاعلية أن SHA-1 أثبتت عمليًا أنها معرضة الآن لهجمات من كيانات ممولة جيدًا تتمتع بقدرة حوسبة معقدة بما فيه الكفاية.
لم يكن إعلان جوجل صدمة كاملة. في وقت مبكر من عام 2005 ، كتب فريق من الباحثين من جامعة شاندونغ في الصين حول الاحتمال النظري لـ التقنيات العملية لتوليد التصادمات في SHA-1. في عام 2013 ، نشر مارك ستيفنز ، رئيس فريق Google الذي حطم SHA-1 ، أ ورقة حول الموضوع كذلك ، وبالتالي فإن إعلان فبراير لم يعد سوى مسألة وقت.
اذن كيف ستفعل حيالها؟ يوصي الخبراء بإيقاف استخدام SHA-1 لسنوات. لحسن الحظ ، تستخدم معظم مواقع الويب حاليًا SHA-2، نسخة أقل عرضة للتكنولوجيا. جميع هيئات الشهادات ذات السمعة الطيبة ، بما في ذلك SSL.comحاصلين على شهادات SHA-1 ويستخدمون SHA-2 حصريًا.
