SHA-1-sleutels en gecodeerde inhoud die dit cijfer gebruiken, zullen binnenkort worden afgeschaft van het OpenSSH-hulpprogramma en de bibliotheek. Deze software is de meest populaire implementatie die veilige communicatie en hashing van informatie mogelijk maakt. Dit kan een diepgaand effect hebben op webservices, frameworks en applicaties die erop vertrouwen. Ze moeten overschakelen naar een ander hash-algoritme.
SHA-1 wordt niet langer aanbevolen als veilig door OpenSSH
De OpenSSH-software-implementatie en bibliotheekcode is een van de meest voorkomende combinaties wanneer hashing-algoritmen worden aangeroepen. Dit is ook de belangrijkste bron bij toepassingen, webservices en frameworks willen het SHA-1-authenticatieschema gebruiken. Het ontwikkelingsteam heeft hun plannen aangekondigd om de ondersteuning van het SHA-1-algoritme stop te zetten. De reden hiervoor is dat veel mensen denken dat het niet langer veilig is.
De belangrijkste reden voor deze beslissing is dat het SHA-1-cijfer in februari praktisch werd verbroken 2017 in een demonstratie genoemd Verbrijzeld. Experts in cryptografie ontwikkelden een techniek waarmee kwaadwillende gebruikers bestanden konden manipuleren zodat ze werden weergegeven met vooraf gedefinieerde SHA-1-bestandshandtekeningen. Dit kan resulteren in een aanval scenario waarin doelgebruikersbestanden kunnen verschijnen met dezelfde handtekening die een verstoring kunnen veroorzaken in de manier waarop het hulpprogramma gehashte gegevens verwerkt. Succesvolle exploitatie van SHA-1-sleutels en gehashte gegevens kan leiden tot de volgende malwarescenario's:
- Access-bestanden — SHA-1-gehashte gegevens kunnen worden geopend als malwaregebruikers deze techniek kunnen gebruiken.
- Afluisteren van beveiligde communicatie — De aanval kan worden toegepast op netwerkdiensten die het communicatiekanaal met SHA-1 hashen. Hierdoor kunnen kwaadwillende gebruikers het gesprek afluisteren.
- Verstoring van services — Veel door de gebruiker geïnstalleerde applicaties, besturingssysteemdiensten en andere software kunnen SHA-1-hashing insluiten. Als dit wordt verstoord, kunnen de bewerkingen mislukken, wat kan leiden tot prestatieproblemen, onverwachte fouten en verlies van gegevens.
De SSH-sleutels die worden gegenereerd door de OpenSSH-software worden meestal gebruikt verifieer e-mailberichten of inloggen op afstand bij hosts. Omdat SHA-1 niet langer de aanbevolen standaardoptie is de aanbeveling is om de sleutels opnieuw te genereren met een ander cijfer. Volgens het OpenSSH-ontwikkelingsteam moeten de volgende modi worden gebruikt in plaats van SHA-1:
- sha2-256
- sha2-512
- ssh-ed25519
- ecdsa-sha2-nistp256
- ecdsa-sha2-nistp384
- ecdsa-sha2-nistp521
In de toekomst heeft het OpenSSH-team verklaard dat ze de standaardmodus voor het gebruik van SHA-1 zullen verwijderen. Voor meer informatie kunnen de gebruikers de release-opmerkingen.