Το OpenSSH και το Libssh έχουν εγκαταλείψει το SHA-1 λόγω αυξανόμενων προβλημάτων ασφάλειας
Οι προγραμματιστές δύο βιβλιοθηκών κώδικα ανοιχτού κώδικα για το Secure Shell, το οποίο είναι το πρωτόκολλο που χρησιμοποιούν εκατομμύρια υπολογιστές για τη δημιουργία κρυπτογραφημένων συνδέσεων, αποφάσισαν να μην υποστηρίζουν πλέον τον αλγόριθμο Secure Hash 1 ( SHA-1 ) λόγω των αυξανόμενων προβλημάτων ασφάλειας.
Όπως ανέφερε η Ars Technica , οι προγραμματιστές που χρησιμοποιούν τις βιβλιοθήκες OpenSSH και Libssh δεν θα μπορούν πλέον να χρησιμοποιούν το SHA-1 για να υπογράφουν ψηφιακά κλειδιά κρυπτογράφησης. Στις σημειώσεις έκδοσης , το OpenSSH εξήγησε γιατί δεν θα υποστηρίζει πλέον το SHA-1, λέγοντας:
«Είναι πλέον δυνατή η εκτέλεση επιθέσεων επιλεγμένου προθέματος ενάντια στον αλγόριθμο SHA-1 με λιγότερο από 50 $ USD. Για αυτόν τον λόγο, θα απενεργοποιήσουμε από προεπιλογή τον αλγόριθμο υπογραφής δημόσιου κλειδιού “ssh-rsa” σε μια μελλοντική έκδοση. Αυτός ο αλγόριθμος δυστυχώς εξακολουθεί να χρησιμοποιείται ευρέως παρά την ύπαρξη καλύτερων εναλλακτικών λύσεων, καθώς είναι ο μόνος αλγόριθμος υπογραφής δημόσιου κλειδιού που καθορίζεται από τα αρχικά SSH RFCs. “
- Τα ελαττώματα κώδικα ανοιχτού κώδικα μπορεί να οδηγήσουν σε ένα νέο Heartbleed
- Εκατομμύρια ιστότοποι τίθενται σε κίνδυνο μετά από σφάλμα κρυπτογράφησης
- Η CIA χρησιμοποίησε την εταιρεία κρυπτογράφησης ως μέτωπο για να κατασκοπεύει ξένες δυνάμεις
Το SHA-1 είναι μια συνάρτηση κρυπτογράφησης κατακερματισμού που αναπτύχθηκε για πρώτη φορά το 1995. Χρησιμοποιείται για την παραγωγή κατακερματισμού “digests” που έχουν μήκος 40 δεκαεξαδικούς χαρακτήρες και κάθε σύνοψη προορίζεται να διακρίνεται για κάθε μήνυμα, αρχείο και λειτουργία που τα χρησιμοποιεί.
Κατακρούσεις σύγκρουσης
Η σύγκρουση είναι ένας κρυπτογραφικός όρος που χρησιμοποιείται για να περιγράψει πότε δύο ή περισσότερες εισόδους δημιουργούν την ίδια έξοδο και οι ερευνητές άρχισαν να προειδοποιούν ότι το SHA-1 γινόταν όλο και πιο ευάλωτο σε συγκρούσεις πριν από μια δεκαετία περίπου.
Το 2017, το SHA-1 έπεσε θύμα μιας επίθεσης σύγκρουσης που κόστισε 110.000 $, τα οποία οδήγησαν σε ορισμένα προγράμματα περιήγησης, αξιόπιστες αρχές πιστοποιητικών προγράμματος περιήγησης και συστήματα ενημέρωσης λογισμικού να εγκαταλείψουν τον αλγόριθμο, παρόλο που ορισμένες υπηρεσίες και λογισμικό συνέχισαν να το χρησιμοποιούν παρά τον κίνδυνο.
Ωστόσο, τον Ιανουάριο του τρέχοντος έτους, οι ερευνητές έδειξαν ότι μια ακόμη πιο ισχυρή επίθεση σύγκρουσης θα μπορούσε να ξεκινήσει με μόλις 45.000 $. Αυτή η επίθεση επιλεγμένου προθέματος έδειξε ότι είναι δυνατή η τροποποίηση μιας υπάρχουσας εισόδου και εξακολουθεί να καταλήγει με τον ίδιο κατακερματισμό SHA-1 και ένας εισβολέας θα μπορούσε να χρησιμοποιήσει αυτήν τη μέθοδο για να αλλάξει έγγραφα ή λογισμικό για να παρακάμψει τους ελέγχους ακεραιότητας που βασίζονται σε SHA-1.
Ενώ το OpenSSH και το Libssh δεν υποστηρίζουν πλέον το SHA-1, ο αλγόριθμος κρυπτογράφησης εξακολουθεί να υποστηρίζεται σε πρόσφατες εκδόσεις του OpenSSL .
techradar.com
