Elveda SHA-1: NIST, Yaygın Olarak Kullanılan 27 Yaşındaki Kriptografik Algoritmayı Kullanımdan Kaldırıyor
Ticaret Bakanlığı bünyesindeki bir kurum olan ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Perşembe günü SHA-1 kriptografik algoritmasını resmi olarak kullanımdan kaldırdığını duyurdu .
Secure Hash Algorithm 1’in kısaltması olan SHA-1 , kriptografide kullanılan 27 yıllık bir hash işlevidir ve o zamandan beri çarpışma saldırıları riski nedeniyle bozuk kabul edilmiştir .
Hash’ler geri döndürülemez olacak şekilde tasarlanırken – yani sabit uzunluktaki şifrelenmiş metinden orijinal mesajı yeniden oluşturmanın imkansız olması gerektiği anlamına gelir – SHA-1’deki çarpışma direncinin olmaması, iki farklı girdi için aynı hash değerinin üretilmesini mümkün kılmıştır.
Şubat 2017’de, CWI Amsterdam ve Google’dan bir grup araştırmacı , SHA-1’de çarpışmalar oluşturmak için algoritmanın güvenliğini etkili bir şekilde baltalayan ilk pratik tekniği açıkladı .
“Örneğin, iki çatışan PDF dosyasını farklı kiraya sahip iki kira sözleşmesi olarak hazırlayarak, birini düşük kira sözleşmesi imzalatarak yüksek kira sözleşmesi için geçerli bir imza oluşturması için kandırmak mümkündür.” araştırmacılar o zaman söyledi .
SHA-1’e yönelik kriptanalitik saldırılar, 2015 yılında NIST’in ABD’deki federal kurumları dijital imzalar, zaman damgaları ve çarpışma direnci gerektiren diğer uygulamaları oluşturmak için algoritmayı kullanmayı bırakması için yetkilendirmesine neden oldu.
Onaylanmış kriptografik algoritmaların bir listesini düzenleyen NIST’in Kriptografik Algoritma Doğrulama Programına ( CAVP ) göre, Ocak 2018’den bu yana akredite edilmiş 2.272 kadar kitaplık hala SHA-1’i desteklemektedir.
Algoritmaya güvenen kullanıcıları elektronik bilgilerin güvenliğini sağlamak için SHA-2 veya SHA-3’e geçmeye teşvik etmenin yanı sıra NIST, SHA-1’in 31 Aralık 2030’a kadar tamamen aşamalı olarak kaldırılmasını da tavsiye ediyor.
NIST bilgisayar bilimcisi Chris Celi, “2030’dan sonra hala SHA-1 kullanan modüllerin satın alınmasına federal hükümet tarafından izin verilmeyecek” dedi. “Şirketlerin artık SHA-1 kullanmayan güncellenmiş modülleri sunmak için sekiz yılı var.”
Kaynak:
https://thehackernews.com/2022/12/goodbye-sha-1-nist-retires-27-year-old.html