Sebagian besar ahli telah merekomendasikan bahwa SHA-1 tidak digunakan lagi untuk beberapa waktu. Untungnya, sebagian besar situs web menggunakan SHA-2, versi teknologi yang lebih diperbarui dan tidak terlalu rentan. Semua otoritas sertifikat terkemuka, seperti SSL.com, telah pensiun sertifikat SHA-1 dan menggunakan SHA-2.
Google Membuktikannya: SHA-1 Rusak
Pada 23 Februari 2017, pengumuman yang ditunggu-tunggu dunia kriptografi akhirnya datang. Google dan Centrum Wiskunde & Informatica (CWI) Amsterdam, warga negara Belanda lembaga penelitian untuk matematika dan ilmu komputer, bekerja sama untuk menunjukkan bahwa ketidakamanan SHA-1 telah berubah dari teoretis menjadi terbukti. Tim merilis a Pernyataan bersama di blog keamanan Google yang merinci bagaimana mereka menghasilkan tabrakan hash.
Tabrakan hash dicapai ketika dua input berbeda menggunakan kriptologi menghasilkan hasil yang identik, secara efektif membuat rentan kriptologi, karena file berbahaya dapat diperkenalkan yang menipu kriptologi. Hingga saat ini, hanya tabrakan “brute force” yang telah terbukti memungkinkan, dan para ahli memperkirakan bahwa serangan brute force pada SHA-1 akan membutuhkan 12 juta unit pemrosesan grafis (GPU) tahun untuk menyelesaikan, yang menjadikan kekuatan kasar tidak praktis. Tim gabungan Google / CWI mengeksploitasi kelemahan dalam SHA-1 untuk mempercepat proses ini hingga seratus ribu kali. Ini secara efektif menunjukkan bahwa SHA-1, dalam praktiknya, sekarang terbukti rentan terhadap serangan dari entitas yang didanai dengan baik dengan daya komputasi yang cukup canggih.
Pengumuman Google tidak mengejutkan. Pada awal 2005, tim peneliti dari Universitas Shandong di China menulis tentang kemungkinan teoretis teknik praktis untuk menghasilkan tabrakan di SHA-1. Pada 2013 Marc Stevens, kepala tim dari Google yang memecahkan SHA-1, menerbitkan a makalah tentang topik tersebut juga, dan karena itu pengumuman Februari dianggap hanya soal waktu.
Jadi apa yang harus dilakukan? Para ahli telah merekomendasikan bahwa SHA-1 tidak digunakan lagi selama bertahun-tahun. Untungnya, sebagian besar situs web saat ini digunakan SHA-2, versi teknologi yang tidak terlalu rentan. Semua otoritas sertifikat terkemuka, termasuk SSL.com, telah pensiun sertifikat SHA-1 dan menggunakan SHA-2 secara eksklusif.
