SHA-1

La crescita della potenza di calcolo crea problemi ai vecchi algoritmi di sicurezza o di hash.

L’algoritmo MD5 era stato reso obsoleto a fine 2008, ora è il turno di SHA-1.

Il protocollo https fa un ampio uso degli algoritmi di hash, ma se è relativamente facile calcolare delle collisioni che permettono di calcolare il dato originale partendo dall’hash, la sicurezza di https è compromessa.

Già 10 anni fa era apparso evidente che SHA-1 fosse attaccabile molto più velocemente di quanto si pensava, è quindi il caso di abbandonare il più velocemente possibile l’utilizzo di questo algoritmo in contesti critici.

Per verificare se un certificato SSL utilizza SHA-1 si può utilizzare l’interfaccia web del tool open source Shaaaaaaaaaaaaa.

Alcuni browser, primo fra tutto Chrome, potrebbero nei prossimi mesi considerare i certificati della PKI con hash SHA-1 non attendibili. Shaaaaaaaaaaaaa mantiene un elenco aggiornato delle modalità di riemissione dei certificati interessati da parte dei maggiori fornitori.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

3 pensieri riguardo “SHA-1”

Spazio per un commento