![Afacere: Aflați curs complet de dezvoltator de jocuri](/f/562170ab1274dee92445edc865b96adb.png?width=100&height=100)
Google tocmai a reușit să rupă criptarea SHA-1. Google a reușit să modifice un PDF fără să-și schimbe valoarea hash SHA-1. Acest tip de coliziune ar putea forța oamenii să creadă că documentul modificat este cel original.
Au fost necesari doi ani de muncă și cercetare pentru ca cercetătorii și Google să rupă criptarea SHA-1. Permiteți-mi să vă spun despre criptarea SHA-1. SHA înseamnă Secure Hash Algorithm. Este o funcție hash criptografică care a fost proiectată de Agenția Națională de Securitate a Statelor Unite (NSA), iar acest algoritm a fost publicat pentru prima dată în 1995.
Ei bine, criptarea SHA-1 este utilizată pentru certificatele HTTPS care sunt folosite acum pentru protejarea istoricului de navigare și în depozitele Git. Criptarea SHA-1 este utilizată pentru a dovedi că datele, indiferent dacă sunt e-mailuri, parole, PDF-uri sau orice alte acreditări, nu au fost interferate de niciun fel de hacker.
Acum, cel mai groaznic lucru este că Google tocmai a reușit să greșească toate aceste fapte creând o coliziune hash. Google a reușit să modifice un PDF fără să-și schimbe valoarea hash SHA-1. Acest tip de coliziune ar putea forța oamenii să creadă că documentul modificat este cel original.
Google pe blog de securitate a scris „Astăzi, la 10 ani de la lansarea SHA-1, anunțăm prima tehnică practică pentru generarea unei coliziuni. Aceasta reprezintă punctul culminant al a doi ani de cercetare care au apărut dintr-o colaborare între Institutul CWI din Amsterdam și Google. ”
Întregul efort a fost doar pentru a arăta comunității tehnologice că criptarea SHA-1 nu mai este acum sigură. Deși Google a depreciat întotdeauna SHA-1 de mulți ani, mai ales când vine vorba de semnarea certificatelor TLS. Chiar și Google Chrome a încetat treptat utilizarea SHA-1 din 2014.
Blogul de securitate Google a scris „Sperăm că atacul nostru practic asupra SHA-1 va cimenta că protocolul ar trebui nu mai este considerat sigur ”și a recomandat industriei să treacă la o alternativă mai sigură, cum ar fi SHA-256.
Ei bine, acum s-ar putea să vă gândiți cum a demonstrat Google prima coliziune SHA-1 Hash vreodată? Google a creat două fișiere PDF diferite care prezintă același hash SHA1 și apoi și-a folosit infrastructura cloud pentru a coliziona un computer. Permiteți-mi să vă spun că Google a calculat coliziunea, care este unul dintre cele mai mari calcule realizate vreodată.
Conform Blogului de securitate Google, iată câteva numere care dau o idee despre cât de mare a fost acest calcul:
Google menționase chiar că vor dezvălui codul după 90 de zile „În urma politicii de divulgare a vulnerabilității Google, vom aștepta 90 cu câteva zile înainte de a elibera cod care permite oricui să creeze o pereche de PDF-uri care conțin aceeași sumă SHA-1, având două imagini distincte, cu unele precondiții. Pentru a preveni utilizarea activă a acestui atac, am adăugat protecții pentru utilizatorii Gmail și GSuite care detectează tehnica noastră de coliziune PDF. "
Google a creat un site-ul web pentru a prezenta întregul atac. Puteți citi fișierul lucrare de cercetare. Deci, ce crezi despre asta? Distribuiți opiniile dvs. în caseta de comentarii de mai jos.