La crescita della potenza di calcolo crea problemi ai vecchi algoritmi di sicurezza o di hash.
L’algoritmo MD5 era stato reso obsoleto a fine 2008, ora è il turno di SHA-1.
Il protocollo https fa un ampio uso degli algoritmi di hash, ma se è relativamente facile calcolare delle collisioni che permettono di calcolare il dato originale partendo dall’hash, la sicurezza di https è compromessa.
Già 10 anni fa era apparso evidente che SHA-1 fosse attaccabile molto più velocemente di quanto si pensava, è quindi il caso di abbandonare il più velocemente possibile l’utilizzo di questo algoritmo in contesti critici.
Per verificare se un certificato SSL utilizza SHA-1 si può utilizzare l’interfaccia web del tool open source Shaaaaaaaaaaaaa.
Alcuni browser, primo fra tutto Chrome, potrebbero nei prossimi mesi considerare i certificati della PKI con hash SHA-1 non attendibili. Shaaaaaaaaaaaaa mantiene un elenco aggiornato delle modalità di riemissione dei certificati interessati da parte dei maggiori fornitori.
3 risposte a “SHA-1”
[…] SHA1 ::: SIAMO GEEK […]
[…] Le funzioni di hash utilizzate in crittografia cambiano con l’evolversi della potenza computazionale a disposizione. MD5 è stato reso obsoleto da tempo, ora è il turno di SHA-1 perché la sua vulnerabilità è una cosa nota da qualche tempo. […]
[…] I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1. […]