مایکروسافت و موزیلا الگوریتم SHA-۱ را در سال ۲۰۱۶حذف خواهند کرد

مایکروسافت تصمیم گرفته است از برنامه‌ی موزیلا برای امنیت بیش‌تر پیروی نماید و به این ترتیب به زودی به استفاده از الگوریتم درهم‌سازی SHA-۱ در گواهی‌نامه‌های رمز‌گذاری وب‌گاه‌ها خاتمه می‌دهد.
مدت زیادی است که همه‌ی پژوهش‌گران امنیتی به الگوریتم SHA-۱ بدبین شده‌اند، اما در سال ۲۰۱۵ به علت سوء‌استفاده از نقاط ضعف این الگوریتم و راه‌اندازی حملات سایبری به کمک آن‌ها دیگر هیچ کس حاضر نیست حتی توجیهی برای استفاده از این الگوریتم به صورت عمومی ارائه دهد.
عملیات درهم‌سازی با هدف تبدیل یک رشته مانند گذرواژه به رشته‌ی نافهوم دیگری از اعداد و الفبا گفته می‌شود، الگوریتم‌های درهم‌سازی به صورت یک‌طرفه هستند و فقط در صورت داشتن رشته‌ی اولیه می‌توان فهمید رشته‌ی درهم‌شده از کجا آمده است. اگر یک الگوریتم درهم‌سازی آسیب‌پذیر باشد یعنی می‌توان در مدت زمان معقولی ۲ عبارت پیدا کرد که مقدار درهم‌شده‌ی آن‌ها مساوی است.
الگوریتم درهم‌سازی SHA-۱ توسط موسسه‌ی استانداردهای آمریکا موسوم به NIST با همکاری آژانس امنیت ملی آمریکا یا NSA معرفی شده بود و سال ۲۰۰۵ پژوهش‌گران حملاتی را معرفی کردند که در بازه‌های زمانی قابل انجام می‌توان حمله‌ای را علیه الگوریتم SHA-۱ به کار گرفت. در واقع بیش از یک دهه است که حملاتی علیه الگوریتم درهم‌سازی SHA-۱ شناسایی شده است و این حملات به‌قدری قدرتمند شده‌اند و به بلوغ رسیده‌اند که عملاً این الگوریتم را غیرقابل استفاده کرده‌اند.
مدتی پیش اخباری پیرامون شناسایی حملاتی علیه SHA-۱ منتشر شد که ادعا می‌کرد با هزینه‌ای معادل ۷۵ هزار دلار شرایط برای شکست الگوریتم SHA-۱ فراهم می‌شود.
مایکروسافت در وبلاگ خود گزارش داده است که علی‌رغم این‌که قول داده بود تا سال ۲۰۱۷ به الگوریتم SHA-۱ در مورد ساخت کلید‌های خصوصی در مروگر Edge فرصت بدهد، اما مانند موزیلا این فرصت را محدود‌تر کرده است و تا سال ۲۰۱۶ با الگوریتم SHA-۱ خداحافظی می‌کند. در واقع از ماه ژوئن سال ۲۰۱۶ میلادی،‌ دیگر گواهی‌نامه‌های TLS امضا‌شده با الگوریتم SHA-۱ در دست‌رس نخواهند بود.

منبع: asis

[easy-pricing-table id="6835"]