Marcadores

O fim do SHA-1 , algorítmo foi quebrado por ataque de colisão.

O algoritmo de hash SHA-1 de criptografia tem sido conhecido vulneráveis ​​, ataques de colisão contra ele são muito acessíveis e ataques vai ficar mais barato em breve.

Muitos sites hoje estão usando certificados digitais assinados usando algoritmos baseados no algoritmo de hash chamado SHA-1. Algoritmos de hash são usados ​​para garantir a integridade do certificado nos processos de assinatura, um algoritmo falho poderia permitir que um invasor para forjar  certificados fraudulentos .
Nos últimos ataques de colisão contra o algoritmo de hash MD5 permitidos atores de ameaças para obter  fraudulentas certificados , especialistas em segurança querem evitar problemas semelhantes para SHA-1.
Principais fornecedores estão trabalhando para eliminar progressivamente o suporte para o algoritmo de hash SHA-1 que é vulnerável a  ataques de colisão que será em breve possível, em 2012, os especialistas demonstraram como quebra SHA1 está se tornando viável , em novembro de 2013, a Microsoft anunciou que vai eliminar gradualmente SHA1 certificados após 2016.
". ataques de colisão contra SHA-1 são muito acessíveis para nós considerá-lo seguro para o PKI web pública. Só podemos esperar que os ataques vai ficar mais barato. ", Afirma o Google em uma declaração oficial sobre o tema. Uso do SHA-1 na Internet tornou-se obsoleta desde 2011, quando o CA / Browser Fórum, um grupo da indústria de browsers principais web e autoridades de certificação (CAs) que trabalham em conjunto para estabelecer os requisitos básicos de segurança para certificados SSL , publicaram seus requisitos básicos para SSL . Estes requisitos recomendados que todos CAs transição longe de SHA-1 o mais rápido possível, e seguiu eventos semelhantes em outras indústrias e setores, comoNIST depreciativo SHA-1 para uso do governo em 2010.
Para se ter uma idéia do impacto da depreciação do SHA-1, vamos analisar os dados fornecidos pelo pulso SSL que confirma que apenas 14,8% usam sites de certificados SHA256 em setembro 2014 .
Sha-1 difusão Settembre 2014
"Um ataque de colisão é, portanto, bem dentro dos limites daquilo que um sindicato do crime organizado pode praticamente orçamento até 2018, e um projeto de pesquisa da universidade até 2021", disse o especialista Bruce Schneier.
A decisão da Microsoft é compartilhado com outros gigantes de TI, como o Mozilla eGoogle , o popular motor de busca, por exemplo, irá penalizar sites que usam certificados SHA1 que vencem ao longo de 2016 e depois.
Autoridades Certificadoras (ACs) e administradores de sites têm de atualizar seuscertificados digitais de assinatura para usar algoritmos diferentes de SHA-1, alternativas válidas poderia ser SHA-256, SHA-384 ou SHA-512.
"Sites com certificados de entidade final que expiram entre 1 de Janeiro de 2016 e 31 de dezembro de 2016 (inclusive), e que incluem uma assinatura baseada em SHA-1 como parte da cadeia de certificação, será tratado como" seguro, mas com pequenos erros " . Sites com certificados de entidade final que expiram em ou após 1 de Janeiro de 2017, e que incluem uma assinatura baseada em SHA-1 como parte da cadeia de certificação, será tratado como "afirmativamente inseguro". Sub recursos de tal domínio será tratada como "conteúdo misto ativo". O display visual atual para "afirmativamente inseguro" é um bloqueio com um X vermelho, e um tratamento vermelha texto tachado no esquema de URL. ", Diz o post no blog publicado pelo Google intitulado"Aos poucos sunsetting SHA-1 ".
Mozilla alinhou a sua posição sobre a aceitação de certificados de SHA-1 com base, a empresa não deve ser emitidos após 1 de janeiro de 2016 ou de confiança após 1 de Janeiro de 2017 A seção 8 da  Manutenção CA Certificate da MozillaPolic y estados:
"Consideramos os seguintes algoritmos e tamanhos de chaves para seraceitável e apoiada em produtos Mozilla: SHA-1 (até um ataque de colisão prática contra SHA-1 certificados é iminente) ... " NIST Orientaçãorecomendou que SHA-1 certificados não deve ser confiável além 2014 No entanto, ainda existem muitos sites que estão usando certificados SSL com assinaturas SHA-1 com base, por isso, estamos de acordo com as posições de Microsoft e  Google que SHA-1 certificados não devem ser emitidos após 1 de janeiro de 2016 ou após confiável 1 de Janeiro de 2017, em particular, CAs não deve ser a emissão de novas SHA-1 certificados de SSL e assinatura de código, e deve ser a migração de seus clientes fora de SHA-1 certificados intermediários e de entidade final. Se a CA ainda precisa emitir certificados de SHA-1, por razões de compatibilidade, em seguida, os SHA-1 certificados devem expirar antes de janeiro de 2017 Mais informações estão disponíveis na lista de práticas CA potencialmente problemáticas da Mozilla ".
Para estar alinhada com sugestões fornecidas pelo NIST e TI gigantes eu recomendo que você:
  • Inventário seus certificados digitais existentes, em ambientes complexos, essa tarefa pode ser feito automaticamente, usando ferramentas específicas que fazem a varredura de toda a rede da empresa.
  • Substitua certificados SHA1 que expiram após 2015; Uma boa política poderia ser para começar a partir dos sites mais valiosos para o negócio da empresa e aqueles website usando certificados que expiram após 2016.
  • Avaliar essas plataformas de servidor que pode não ser capaz de suportar SHA256, ou superior, certificados (por exemplo, Windows Server 2003). Estes sistemas podem exigir uma atualização ou uma atividade de correção.
Marcadores:

Comentários

Doutornet - Guilherme Neves disse…
Com a quebra do sha-1 , os servidores que rodam do windows server 2003 ficaram vulneráveis , podendo sofrer ataque para quebra de senha e dados criptografados.
30 de setembro de 2014 às 05:36
Postar um comentário

Postagens mais visitadas