A legtöbb szakértő egy ideje javasolja az SHA-1 megszüntetését. Szerencsére a legtöbb webhely az SHA-2 technológiát használja, amely a technológia naprakészebb és kevésbé sérülékeny változata. Minden neves tanúsító hatóság, például az SSL.com, visszavonult SHA-1 tanúsítvánnyal, és SHA-2-t használ.
A Google ezt bizonyítja: az SHA-1 megtört
23. február 2017-án végre eljött az a bejelentés, amelyre a rejtjelezési világ várt. A Google és a Centrum Wiskunde & Informatica (CWI) Amszterdam, Hollandia állampolgára matematikai és informatikai kutatóintézet, összeállt annak igazolására, hogy a SHA-1 elméleti helyről bizonyítottra vált. A csapatok a közös nyilatkozatot a Google biztonsági blogján, részletesebben, hogy miként generáltak hash ütközést.
A hash ütközést akkor lehet elérni, ha a kriptográfiát használó két különféle bemenet azonos eredményt ad, és ezáltal a kriptetológiát sebezhetővé teszi, mivel rosszindulatú fájlt lehet bevezetni, amely megrontja a kriptográfiát. Eddig csak a „brute force” ütközések bizonyultak lehetségeseknek, és a szakértők becslése szerint az SHA-1 elleni brute force támadások 12 millió grafikus feldolgozóegység (GPU) évet igényelnek, amely gyakorlatiassá teszi a nyers erőt. A Google / CWI együttes csapata kihasználta az SHA-1 gyengeségeit, hogy százezer alkalommal gyorsítsák fel ezt a folyamatot. Ez ténylegesen bizonyítja, hogy a SHA-1 a gyakorlatban bebizonyosodott, hogy ki van téve a kellően kifinomult számítási teljesítményű, jól finanszírozott szervezetek támadásainak.
A Google bejelentése nem volt teljes sokk. Már 2005-ben a kínai Shandong Egyetem kutatócsoportja írt a kórus elméleti lehetőségeiről gyakorlati technikák az ütközések generálására az SHA-1-ben. 2013-ban Marc Stevens, a Google csapatának vezetője, amely megtörte az SHA-1-t, egy papír a témáról is, és a februári bejelentést ezért csak idő kérdésének tekintették.
Szóval mit kell tenni vele? A szakértők évek óta javasolják az SHA-1 elavulását. Szerencsére a legtöbb webhely jelenleg használ SHA-2, a technológia kevésbé sebezhető változata. Minden neves tanúsító hatóság, beleértve a következőket: SSL.com, nyugdíjba vett SHA-1 tanúsítvánnyal rendelkezik, és kizárólag az SHA-2-t használja.
