USD 80.85 ЕВРО 93.92

Другие новости

Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года

Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран

Более пяти тысяч участников объединил Moscow Startup Summit

Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»

Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы

Павильон ВДНХ и Саввинское подворье: какие памятники архитектуры заявлены на конкурс «Московская реставрация»

Все новости

Алгоритм хэширования SHA-1 можно взломать за $75K

Экономика

Алгоритму хэширования SHA-1 пора на пенсию, поскольку его взлом сейчас дешевле, чем когда-либо, говорят исследователи.

Исследователи нашли новый способ взлома алгоритма хэширования SHA-1, который до сих пор используется для подписи почти каждого третьего сертификата SSL, использующегося на основных сайтах, что делает еще более актуальной необходимость отказа от него.

SHA-1 является криптографической функцией хеширования, предназначенной для производства отпечатка документа, что позволяет легко определить, если документ был изменен после того, как был рассчитан отпечаток.

Слабые стороны давно были найдены в SHA-1, и большинство современных веб-браузеров больше не будут принимать SSL сертификаты, подписанные с помощью этого алгоритма, после 1 января 2017 года. Эта дата была выбрана на основе постоянно уменьшающейся стоимости вычислительной мощности, требуемой для взлома алгоритма.

Исследователи, которые разработали новый тип атаки, считают, что использование SHA-1 должно быть прекращено раньше, так как они оценивают стоимость взлома в сумму от $75.000 до $120.000, используя свободно доступные облачные вычислительные сервисы. Ранее исследователь Intel Джесси Уокер заявлял, что в 2018 году стоимость взлома станет экономически целесообразной для преступных синдикатов.

Так совпало, что Certification Authority/Browser Forum, который согласовывает политики поддержки сертификатов SSL, рассматривает предложения о продолжении выдачи SSL сертификатов, подписанных с помощью SHA-1, за пределами ранее согласованной даты отсечения. Центры Сертификации (ЦС) выдают и поручаются за сертификаты, используемые для обеспечения работы веб-сайтов.

Исследователи настоятельно рекомендуют отклонить это предложение.
Такие алгоритмы хэширования, как SHA-1 считаются безопасными, если гораздо более сложно создать документ, который соответствует данному хэшу, чем вычислить хэш из данного документа.

Если кто-то может создать два различных файла, которые имеют одинаковый хэш, то возможно использование цифровой подписи одного — скажем, легитимно загружаемого приложения — и замены его вредоносным по пути, так что электронный аудит не сможет определить. Это называется атака идентичного префикса.

Еще более серьезным является то, что кто-то может взять существующий документ с известным хэшем, и создать новый файл, соответствующий этому хэшу (так называемая, атака известного префикса). Это позволяет выполнить неопределяемую подмену не только приложений с известным хэшем, но также сертификаты безопасности SSL.

Исследователи советуют не играть с огнем, и ускорить процесс перехода на SHA2 и SHA3.