en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Google bewijst het: SHA-1 is kapot

De meeste experts bevelen de SHA-1 al enige tijd aan. Gelukkig gebruiken de meeste websites SHA-2, een meer bijgewerkte en minder kwetsbare versie van de technologie. Alle gerenommeerde certificeringsinstanties, zoals SSL.com, hebben SHA-1-certificaten met pensioen en gebruiken SHA-2.

Google bewijst het: SHA-1 is kapot

Op 23 februari 2017 kwam eindelijk de aankondiging waar de cryptografiewereld op heeft gewacht. Google en Centrum Wiskunde & Informatica (CWI) Amsterdam, Nederlander onderzoeksinstituut voor wiskunde en informatica, hebben samengewerkt om te bewijzen dat de onzekerheid van SHA-1 is overgegaan van theoretisch naar bewezen. De teams hebben een gezamenlijke verklaring op het beveiligingsblog van Google waarin wordt beschreven hoe ze een hash-botsing hebben veroorzaakt.

Een hash-botsing wordt bereikt wanneer twee verschillende inputs met cryptologie identieke resultaten opleveren, waardoor de cryptologie kwetsbaar wordt, aangezien er een schadelijk bestand zou kunnen worden geïntroduceerd dat de cryptologie voor de gek houdt. Tot nu toe was bewezen dat alleen "brute force" -botsingen mogelijk waren, en deskundigen schatten dat brute force-aanvallen op SHA-1 12 miljoen jaar aan grafische verwerkingseenheden (GPU) zouden vergen, wat maakt brute kracht onpraktisch. Het gecombineerde Google / CWI-team maakte gebruik van zwakke punten in SHA-1 om dit proces honderdduizend keer te versnellen. Dit toont effectief aan dat SHA-1 in de praktijk nu kwetsbaar is gebleken voor aanvallen van goed gefinancierde entiteiten met voldoende geavanceerde rekenkracht.

De aankondiging van Google was geen complete schok. Al in 2005 schreef een team van onderzoekers van de Shandong University in China over de theoretische mogelijkheid van praktische technieken voor het genereren van botsingen in SHA-1. In 2013 publiceerde Marc Stevens, het hoofd van het team van Google dat SHA-1 brak, een paper over het onderwerp en de aankondiging van februari is daarom slechts een kwestie van tijd overwogen.

Dus wat te doen? Deskundigen bevelen aan dat SHA-1 jarenlang wordt afgeschaft. Gelukkig gebruiken de meeste websites momenteel SHA-2, een minder kwetsbare versie van de technologie. Alle gerenommeerde certificeringsinstanties, inclusief SSL.com, SHA-1-certificaten hebben beëindigd en uitsluitend SHA-2 gebruiken.

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com