حفره امنیتی در SHA-1

کارکنان بخش امنیتی گوگل از یک حفره امنیتی در رمزنگاری SHA-1 پرده برداشتند


مهم ترین وظیفه تیم امنیتی گوگل کسب اطمینان از امنیت محصولات و اطلاعات مشتریان در مقابل تهدیدهای امنیتی در اینترنت می باشد، اما تامین امنیت کلی اینترنت نیز جز فعالیت های جانبی آنهاست. آنها قادر به یافتن یک حفره امنیتی جدید در رمزنگاری SHA-1 شدند که از روزهای اولیه پیدایش در اینترنت رایج بوده است.

محققان امنیتی و هکرها در گذشته نیز قادر به حمله به سیستم SHA-1 شده اند، اما حمله گوگل نخستین تصادم کامل محسوب می شود که به معنای نفوذ کامل هش در کد خارجی است که مایل به برگرداندن یک مقدار که هش به دنبال آن است می باشد. در حقیقت این شرایط به این معناست که امنیت SHA-1 که در گذشته نیز ناامن تلقی می شد، زیر سوال رفته است. گوگل کدی را که آنها را در 90 روز قادر به انجام هک کرد منتشر کرده و شرایط پیش آمده به این معناست که این حمله تمامی وب سایت ها یا منابعی که انواع دیگری از رمزنگاری را مورد استفاده قرار نداده اند، تهدید می کند.

حفره امنیتی در SHA-1

حمله گوگل در طی دو سال و با همکاری محققین انستیتوی CWI آمستردام توسعه یافته بود. گوگل در حال انتشار دو فایل با هش های یکسان و محتوای متفاوت به عنوان گواهی از حمله خود می باشد. ممکن است برخی از افراد اینگونه استدلال کنند که این حمله و تصادم های نتیجه آن به وجود نیایند، اما باز هم امنیت و قابلیت اطمینان SHA-1 زیر سوال می رود. با ایجاد حمله و برنامه ریزی تاریخ انتشار عمومی آن، گوگل افرادی را که هنوز از این متد منسوخ شده استفاده می کنند وادار به تغییر آن جهت مقابله با حملات احتمالی می نماید.

حفره امنیتی در SHA-1

حفره امنیتی در SHA-1


حفره امنیتی در SHA-1

هش SHA-1 در سال 1995 توسط دولت آمریکا اختراع شد و به صورت های مختلفی مورد استفاده قرار گرفته و نقش اساسی در تعدادی از عملیات پردازشی عمومی و امنیتی در طول سال های اخیر ایفا کرده است. مواردی همچون تشخیص فایل های تکراری، احراز هویت کاربر و مدیریت ریپوزیتوری کد تنها چند مورد از عملیاتی هستند که هش های امنیتی قادر به انجامشان می باشند. بسیاری از وب سایت ها، سازندگان برنامه ها و منابع عمومی و خصوصی از SHA-1 به نسخه های امن تر مانند SHA-2 منتقل شده اند، اما برخی هنوز به SHA-1 پایبند مانده اند و از این رو با انتشار کد از سوی گوگل در معرض خطر قرار خواهند گرفت.

 

https://www.androidheadlines.com برگرفته از

اینها را هم بخوانید