As chaves SHA-1 e o conteúdo criptografado usando essa cifra serão descontinuados em breve do utilitário e da biblioteca OpenSSH. Este software é a implementação mais popular, permitindo comunicação segura e hash de informações. Isso pode ter um efeito profundo nos serviços da web, estruturas e aplicativos que dependem dele. Eles precisarão mudar para outro algoritmo de hash.
O SHA-1 não é mais recomendado como seguro pelo OpenSSH
O código de biblioteca e implementação de software OpenSSH é uma das combinações mais amplamente usadas quando os algoritmos de hash são chamados. Esse também é o principal recurso quando aplicativos, serviços e estruturas da web desejam usar o esquema de autenticação SHA-1. A equipe de desenvolvimento anunciou seus planos para interromper o suporte ao algoritmo SHA-1. A razão para isso é que muitas pessoas consideram que não é mais seguro.
A principal causa dessa decisão é porque a cifra SHA-1 foi praticamente quebrada em fevereiro 2017 em uma demonstração chamada SHAttered. Especialistas em criptografia desenvolveram uma técnica que permitia que usuários mal-intencionados manipulassem arquivos para que apresentassem assinaturas de arquivo SHA-1 predefinidas. Isso pode resultar em uma cenário de ataque em que os arquivos do usuário de destino podem aparecer com a mesma assinatura, o que pode causar uma interrupção na maneira como o utilitário lida com dados de hash. A exploração bem-sucedida de chaves SHA-1 e dados com hash pode levar aos seguintes cenários de malware:
- Acesso a arquivos — Os dados com hash SHA-1 podem ser abertos se os usuários de malware puderem usar essa técnica.
- Espionagem de comunicações seguras — O ataque pode ser aplicado a serviços de rede que misturam o canal de comunicação com o SHA-1. Isso pode permitir que usuários mal-intencionados escutem a conversa.
- Interrupção de Serviços — Muitos aplicativos instalados pelo usuário, serviços do sistema operacional e outros softwares podem incorporar hash SHA-1. Se isso for interrompido, as operações poderão ser interrompidas, o que pode levar a problemas de desempenho, erros inesperados e perda de dados.
As chaves SSH geradas pelo software OpenSSH são normalmente usadas para verificar mensagens de email ou logon remoto para hosts. Como o SHA-1 não é mais a opção padrão recomendada a recomendação é regenerar as chaves com outra cifra. De acordo com a equipe de desenvolvimento do OpenSSH, os seguintes modos devem ser usados no lugar do SHA-1:
- sha2-256
- sha2-512
- ssh-ed25519
- ecdsa-sha2-nistp256
- ecdsa-sha2-nistp384
- ecdsa-sha2-nistp521
No futuro, a equipe do OpenSSH declarou que removerá o modo padrão de uso do SHA-1. Para mais informações, os usuários podem ler o notas de lançamento.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: