SHA-1-nøgler og krypteret indhold ved hjælp af denne ciffer udskrives snart fra OpenSSH-værktøjet og biblioteket. Denne software er den mest populære implementering, der muliggør sikker kommunikation og hashing af information. Dette kan have en dyb virkning på webservices, rammer og applikationer, der er afhængige af det. De bliver nødt til at skifte til en anden hash-algoritme.
SHA-1 anbefales ikke længere som sikkert af OpenSSH
OpenSSH-softwareimplementering og bibliotekskode er en af de mest udbredte kombinationer, når hash-algoritmer kaldes. Dette er også den vigtigste ressource, når applikationer, webservices og rammer ønsker at bruge SHA-1-godkendelsesskemaet. Udviklingsholdet har annonceret deres planer om at indstille understøttelse af SHA-1 algoritmen. Årsagen hertil er, at mange mennesker finder det ikke længere sikkert.
Den vigtigste årsag til denne beslutning er fordi SHA-1-chifferet praktisk talt blev brudt i februar 2017 i en demonstration kaldet Shattered. Eksperter inden for kryptografi udviklede en teknik, der gjorde det muligt for ondsindede brugere at manipulere filer til at vise sig at have foruddefinerede SHA-1-filunderskrifter. Dette kan resultere i en angrebsscenarie hvor målbrugerfiler kan vises som at have den samme signatur, hvilket kan forårsage en forstyrrelse i den måde, værktøjet håndterer hashdata. Vellykket udnyttelse af SHA-1-nøgler og hashede data kan føre til følgende malware-scenarier:
- Filer Access — SHA-1 hashede data kan åbnes, hvis malware-brugere kan bruge denne teknik.
- Sikker kommunikationsafslipning — Angrebet kan anvendes på netværkstjenester, der hash kommunikationskanalen med SHA-1. Dette kan give ondsindede brugere mulighed for at aflyse samtalen.
- Forstyrrelse af tjenester — En masse brugerinstallerede applikationer, operativsystemtjenester og anden software kan integrere SHA-1-hashing. Hvis dette forstyrres, kan operationerne nedbrydes, hvilket kan føre til ydeevneproblemer, uventede fejl og datatab.
SSH-nøglerne, der er genereret af OpenSSH-softwaren, er typisk vant til verificere e-mail-meddelelser eller ekstern login til værter. Da SHA-1 ikke længere er den anbefalede standardindstilling anbefalingen er at regenerere tasterne med en anden ciffer. I henhold til OpenSSH-udviklingsholdet skal følgende tilstande anvendes i stedet for SHA-1:
- sha2-256
- sha2-512
- ssh- ed25519
- ecdsa-sha2-nistp256
- ecdsa-sha2-nistp384
- ecdsa-sha2-nistp521
I fremtiden har OpenSSH-teamet oplyst, at de vil fjerne standardtilstanden for at bruge SHA-1. For mere information kan brugerne læse udgivelses noter.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: