NIST рекомендует всем, кто полагается на SHA-1 для обеспечения безопасности, перейти на использование более безопасных наборов алгоритмов SHA-2 и SHA-3.
Национальный институт стандартов и технологий США. (NIST) заявил, что хэш-алгоритм SHA-1 устарел, небезопасен и его использование не рекомендуется, упоминается, что планируется поэтапный отказ от использования SHA-1 до 31 декабря 2030 года и полный переход на более безопасные алгоритмы SHA-2 и SHA-3.
SHA-1 был одним из первых широко используемых методов Для защиты данных используется алгоритм SHA-1, что означает «безопасный алгоритм хеширования». С 1995 как часть Федерального стандарта обработки информации (FIPS) 180-1.
Это немного модифицированная версия SHA, первая хеш-функция, стандартизированная федеральным правительством для широкого использования в 1993 году. Поскольку сегодняшние все более мощные компьютеры могут атаковать алгоритм, NIST объявляет, что SHA-1 должен быть удален к 31 декабря. , 2030 г., в пользу более безопасных групп алгоритмов SHA-2 и SHA-3.
«Мы рекомендуем всем, кто полагается на SHA-1 для обеспечения безопасности, как можно скорее перейти на SHA-2 или SHA-3», — сказал Крис Сели, специалист по информатике NIST.
Криптографические модули, поддерживающие SHA-1, не смогут пройти очередной тест в NIST и их поставка в госструктуры США будет невозможна (сертификат выдается только на пять лет, после чего требуется повторное тестирование).
В 2005 году была подтверждена теоретическая возможность атаки на SHA-1. В 2017 году была продемонстрирована первая практическая коллизионная атака с заданным префиксом для SHA-1, позволяющая выбирать дополнения из двух разных наборов данных, соединение которых приведет к коллизии и формированию одного и того же результирующего хэша (например, для двух существующих документов можно вычислить два сложения, и если одно прикрепить к первому документу, а другое ко второму, результирующие хэши SHA-1 для этих файлов будут одинаковыми).
Поскольку атаки на SHA-1 в других приложениях становятся все более серьезными, NIST прекратит использование SHA-1 в своих последних оставшихся указанных протоколах к 31 декабря 2030 года. К этой дате NIST планирует:
Опубликуйте FIPS 180-5 (редакция FIPS 180), чтобы удалить спецификацию SHA-1.
Пересмотрите SP 800-131A и другие затронутые публикации NIST, чтобы отразить запланированный вывод из эксплуатации SHA-1.
Создайте и опубликуйте стратегию перехода для проверки криптографических алгоритмов и модулей.
Последний пункт относится к Программе проверки криптографических модулей NIST (CMVP), которая проверяет эффективность работы модулей, строительных блоков, составляющих функциональную систему шифрования. Все криптографические модули, используемые в федеральном шифровании, должны проверяться каждые пять лет, поэтому изменение статуса SHA-1 затронет компании, разрабатывающие модули.
В 2019 году значительно улучшен метод обнаружения столкновений а стоимость проведения атаки сократилась до нескольких десятков тысяч долларов. В 2020 году была продемонстрирована рабочая атака для создания фиктивных цифровых подписей PGP и GnuPG.
«Федеральное правительство не разрешит покупку модулей, которые все еще используют SHA-1 после 2030 года», — сказал Чели. «У предприятий есть восемь лет, чтобы представить обновленные модули, которые больше не используют SHA-1. Поскольку перед крайним сроком часто возникает задержка с отправкой, мы рекомендуем разработчикам отправлять свои обновленные модули заблаговременно, чтобы у CMVP было время ответить».
С 2011 года SHA-1 устарел. для использования в цифровых подписях, а в 2017 году все основные веб-браузеры перестали поддерживать сертификаты, подписанные с помощью хеш-алгоритма SHA-1. Однако SHA-1 по-прежнему используется для контрольных сумм, и в базе данных NIST имеется более 2200 сертифицированных криптографических модулей и библиотек с поддержкой SHA-1.
Наконец, следует помнить, что для 31 декабря 2030 г. все текущие спецификации и протоколы NIST больше не будут использовать SHA-1. Конец спецификации SHA-1 будет отражен в новом федеральном стандарте FIPS 180-5. Кроме того, будут внесены изменения в соответствующие спецификации, такие как SP 800-131A, из которых будет удалено упоминание о SHA-1.
Если вы хотите узнать больше об этом, вы можете ознакомиться с подробностями на по следующей ссылке.