اعلام برنامه‌ی زمان‌بندی گوگل برای کنار گذاشتن SHA-۱

با وجود نگرانی اظهارشده مبنی بر این‌که افول این الگوریتم رمزگذاری شکسته شده، ممکن است موجب قطع ارتباط میلیون‌ها نفر در سراسر دنیا از اینترنت شود، گوگل برنامه‌ی زمان‌بندی خود را برای کنار گذاشتن گواهی‌نامه‌های SHA-۱ ارائه کرده است.
کنار گذاشتن گواهی‌نامه SHA-۱ در ماه‌های اخیر بعد از این‌که محققان شروع به انتشار مقالاتی در مورد کاربردی بودن حملات در طی ماه‌های آینده و نه سال‌های آینده از طریق آن نمودند، سرعت یافته است.
گوگل اعلام کرده است که از تاریخ یکم ژانویه در کروم نسخه‌ی ۴۸ کاربران هنگامی که به وب‌گاه‌‌هایی برسند که گواهی‌نامه‌ی SHA-۱ را پشتیبانی می‌کنند، با پیام خطایی مواجه خواهند شد. از تاریخ یکم ژانویه‌ی سال ۲۰۱۷ و یا حتی زودتر در تاریخ یکم جولای سال ۲۰۱۶، گواهی‌نامه‌ی SHA-۱ توسط مرورگر کروم مسدود خواهد شد. مایکروسافت نیز اعلام کرده است که در تاریخ یکم ژوئن سال ۲۰۱۶ گواهی‌نامه‌ی SHA-۱ را مسدود خواهد کرد.
شرکت گوگل می‌گوید: «در این زمان وب‌گاه‌‌هایی که امضای گواهی‌نامه‌ی آن‌ها بر اساس SHA-۱ باشد به عنوان بخشی از زنجیره‌ی گواهی‌نامه‌ها (نه این‌که در مجوز ریشه خود شامل یک گواهی‌نامه از این نوع باشند) با یک خطای شبکه‌ی مرگ‌بار مواجه خواهند شد. این خطا شامل زنجیره‌ی گواهی‌نامه‌هایی خواهد شد که در local trust anchor پایان یافته و یا آن‌هایی که در یک CA عمومی پایان پذیرند.»
مایکروسافت و موزیلا نیز دارای همان زمان‌بندی‌ها برای پایان دادن به پشتیبانی از SHA-۱ هستند و مصرانه از وب‌گاه‌‌ها می‌خواهند تا به پشتیبانی از SHA-۲ روی آورده و از به کارگیری TLS و سوئیت رمزهای غیر RC۴ پرهیز کنند.
در این بین اخیراً فیس‌بوک و CloudFlare درخواست‌های عمومی خود را برای بازنگری مسیرهای رو به جلو در SHA-۱ ارائه کرده‌اند. آلکس استاموس Alex Stamos رئیس بخش امنیت فیس‌بوک اطلاعاتی را ارائه کرده است که نشان می‌دهد تا هفت درصد از مرورگرهای دنیا هنوز از SHA-۲۵۶ پشتیبانی نمی‌کنند، و در نتیجه دهه‌ها میلیون نفر در سراسر دنیا از جمعه آینده از اینترنت محروم خواهند بود.
استاموس می‌نویسد: «تعداد زیادی از این افراد در کشورهای در حال توسعه قرار دارند و شاید این سیر قهقرایی در این کشورها نتیجه خواست دولت‌ها، شرکت‌ها و این جی او هاست که می‌خواهند به جمعیت هدف خود در این کشورها دسترسی داشته باشند.»
ماتیو پرینس مدیر اجرایی شرکت CloudFlare نیز در این مورد با اشاره به این موضوع می‌گوید بر خلاف زمانی که MD۵ کنار گذاشته شد و پشتیبانی از SHA-۱ گسترش یافت، امروزه نمی‌توان به آن شکل عمل کرد زیرا که بسیاری از دستگاه‌های تلفن همراه از گواهی‌نامه‌ی SHA-۲ پشتیبانی نمی‌کنند.
پرینس می‌گوید: «در شرکت‌ Silicon Valley، جایی که کارمندان آن هر سال لپ‌تاپ جدیدی تهیه می‌کنند و کسی صحبتی از گوشی تلفن همراه مربوط به ۵ سال پیش نمی‌کند به نظر نمی‌رسد که مشکلی وجود داشته باشد. اما اینترنت به وسیله‌ی میلیون‌ها نفر در سراسر دنیا استفاده می‌شود و اغلب آن‌ها از آخرین فن‌آوری استفاده نمی‌کنند. برای درک تأثیر این واقعیت ما چند هفته قبل آزمایش‌هایی بر روی مرورگرهای متصل به شبکه CloudFlare با پشتیبانی از SHA-۲ انجام دادیم. مشاهده کردیم که تقریباً یک ترلیون صفحه توسط ۲.۲ میلیارد نفر از بازدیدکنندگان در هر ماه دیده می‌شد، که نشان‌گر یک نمونه‌ی مشخص از ترافیک جهانی اینترنت بود.»
پرینس می‌گوید که در حدود ۳۷ میلیون نفر از افراد در صورتی که گواهی‌نامه‌های SHA-۱ کنار گذاشته شوند از اینترنت محروم خواهند شد. در عین حال او پیشنهاد کرد که انجمن گواهی‌نامه‌های مرورگران CA/Browser Forum یک گواهی‌نامه ایجاد کند که بتوان آن را به سازمان‌ها ارائه کرد و با استفاده از آن بتوان گواهی‌نامه‌های SHA-۲۵۶ را در مرورگرهای قدیمی استفاده نمود.
استاموس نوشته است: «چنین گواهی‌نامه‌هایی می‌تواند به صورت دستی یا خودکار باشد، اقدامات مناسب می‌تواند در مورد آن‌ها به کار گرفته شود تا از خطر حملات محافظت شوند. این حفاظت‌ها می‌تواند شامل نیاز به تقاضای LV باشد که اکنون از طریق تأیید OV‌و یا EV صورت می‌گیرد و همینطور شیوه‌های بهتری نظیر تصادفی سازی شماره‌ی سریال‌ها باشد. اگر این تغییرات تا تاریخ ۳۱ دسامبر اتفاق نیفتند، آن‌گاه ما با انجمن CA/B تماس خواهیم گرفت تا قواعد استفاده از SHA-۱ را تا مدت زمان لازم برای ایجاد استانداردهایی برای گواهی‌نامه‌های قدیمی، به تعویق اندازد.»
این عجله زمانی شدت یافت که در اوایل اکتبر، مقاله‌ای آکادمیک منتشر شد که نشان می‌داد با برخی از اندازه‌گیری‌های عملی که پیچیدگی‌های موجود در حملات با استفاده از SHA-۱ به شدت کاهش یافته است و در نتیجه هزینه و زمان برای انجام این حملات علیه گواهی‌نامه‌های SHA-۱ کاهش پیدا کرده است، و موجب شده تا هزینه‌ی این حملات بین ۷۵ تا ۱۰۰ هزار دلار آمریکا پایین بیاید و زمان آن نیز بین ۴۹ تا ۷۸ روز کاهش یابد، هر دوی این‌ها به خاطر استفاده‌ی مهاجمان از منابع دولتی و ابزارهای سطح بالای جرایم سایبری است.»
استاموس می‌گوید: «این مشکلی ساده نیست، و افرادی که مخالف آن هستند نیت خوبی در سر دارند. ما امیدواریم که راهی به سمت جلو بیابیم که به گسترش فن‌آوری‌های رمزنگاری کمک کند بدون این‌که افرادی را که قادر به پرداخت هزینه آخرین و قوی‌ترین دستگاه‌های به روز نیستند پشت سر خود جا بگذاریم.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.