Les clés SHA-1 et le contenu chiffré utilisant ce chiffre seront bientôt obsolètes de l'utilitaire et de la bibliothèque OpenSSH. Ce logiciel est l'implémentation la plus populaire permettant une communication sécurisée et le hachage des informations. Cela peut avoir un effet profond sur les services Web, cadres et applications qui en dépendent. Ils devront passer à un autre algorithme de hachage.
SHA-1 n'est plus recommandé comme sécurisé par OpenSSH
L'implémentation du logiciel OpenSSH et le code de bibliothèque sont l'une des combinaisons les plus répandues lorsque des algorithmes de hachage sont appelés. C'est également la ressource principale lorsque les applications, les services Web et les frameworks veulent utiliser le schéma d'authentification SHA-1. L'équipe de développement a annoncé son intention de cesser la prise en charge de l'algorithme SHA-1. La raison en est que beaucoup de gens considèrent que ce n'est plus sûr.
La principale cause de cette décision est que le chiffre SHA-1 a été pratiquement cassé en février 2017 dans une manifestation appelée SHAttered. Les experts en cryptographie ont développé une technique qui a permis aux utilisateurs malveillants de manipuler des fichiers pour qu'ils apparaissent comme ayant des signatures de fichiers SHA-1 prédéfinies. Cela peut entraîner un scénario d'attaque dans lequel les fichiers utilisateur cibles peuvent apparaître comme ayant la même signature, ce qui peut perturber la façon dont l'utilitaire gère les données hachées. Une exploitation réussie des clés SHA-1 et des données hachées peut conduire aux scénarios de logiciels malveillants suivants:
- Accéder aux fichiers — Les données hachées SHA-1 peuvent être ouvertes si les utilisateurs de logiciels malveillants peuvent utiliser cette technique.
- Écoute sécurisée des communications — L'attaque peut être appliquée aux services réseau qui hachent le canal de communication avec SHA-1. Cela peut permettre aux utilisateurs malveillants d'écouter la conversation.
- Interruption des services — Beaucoup d'applications installées par l'utilisateur, les services du système d'exploitation et d'autres logiciels peuvent intégrer le hachage SHA-1. Si cela est perturbé, les opérations peuvent tomber en panne, ce qui peut entraîner des problèmes de performances, des erreurs inattendues et la perte de données.
Les clés SSH générées par le logiciel OpenSSH sont généralement utilisées pour vérifier les e-mails ou connexion à distance aux hôtes. Comme SHA-1 n'est plus l'option par défaut recommandée la recommandation est de régénérer les clés avec un autre chiffrement. Selon l'équipe de développement d'OpenSSH, les modes suivants doivent être utilisés à la place de SHA-1:
- sha2-256
- sha2-512
- ssh-ed25519
- ecdsa-sha2-nistp256
- ecdsa-sha2-nistp384
- ecdsa-sha2-nistp521
À l'avenir, l'équipe OpenSSH a déclaré qu'elle supprimera le mode par défaut d'utilisation de SHA-1. Pour plus d'informations, les utilisateurs peuvent lire le notes de version.