SHA-1 (skrót od Secure Hash Algorithm 1) to jedna z kilku kryptograficznych funkcji skrótu.
Najczęściej używa się go do sprawdzenia, czy plik nie został zmieniony. Odbywa się to poprzez wygenerowanie sumy kontrolnej przed przesłaniem pliku, a następnie ponownie, gdy dotrze on do miejsca docelowego.
Przesłany plik może być uznany za prawdziwy tylko wtedy, gdy obie sumy kontrolne są identyczne.
Historia i luki w zabezpieczeniach funkcji skrótu SHA
SHA-1 to tylko jeden z czterech algorytmów z rodziny Secure Hash Algorithm (SHA). Większość z nich została opracowana przez Narodową Agencję Bezpieczeństwa (NSA) i opublikowana przez Narodowy Instytut Standardów i Technologii (NIST).
SHA-0 ma 160-bitowy rozmiar skrótu wiadomości (wartość skrótu) i jest pierwszą wersją tego algorytmu. Jego wartości skrótu mają długość 40 cyfr. Został opublikowany pod nazwą „SHA” w 1993 roku, ale nie był używany w wielu aplikacjach, ponieważ został szybko zastąpiony przez SHA-1 w 1995 z powodu luki w zabezpieczeniach.
SHA-1 to druga iteracja tej kryptograficznej funkcji skrótu. Ten ma również podsumowanie wiadomości o długości 160 bitów i ma na celu zwiększenie bezpieczeństwa poprzez naprawienie słabości znalezionej w SHA-0. Jednak w 2005 r. SHA-1 również okazał się niepewny.
Po wykryciu słabości kryptograficznych w SHA-1, NIST wydał w 2006 r. oświadczenie zachęcające agencje federalne do przyjęcia SHA-2 do roku 2010. SHA-2 jest silniejszy niż SHA-1, a ataki przeciwko SHA-2 są mało prawdopodobne przy obecnej mocy obliczeniowej.
Nie tylko agencje federalne, ale nawet firmy takie jak Google, Mozilla i Microsoft rozpoczęły plany zaprzestania akceptowania certyfikatów SSL SHA-1 lub już zablokowały ładowanie tego rodzaju stron.
Google ma dowód na kolizję SHA-1, która sprawia, że ta metoda jest niewiarygodna przy generowaniu unikalnych sum kontrolnych, niezależnie od tego, czy chodzi o hasło, plik, czy jakikolwiek inny fragment danych. Możesz pobrać dwa unikalne pliki PDF z SHAttered, aby zobaczyć, jak to działa. Użyj kalkulatora SHA-1 z dołu tej strony, aby wygenerować sumę kontrolną dla obu, a przekonasz się, że wartość jest dokładnie taka sama, mimo że zawierają różne dane.
SHA-2 i SHA-3
SHA-2 została opublikowana w 2001 roku, kilka lat po SHA-1. Zawiera sześć funkcji skrótu o różnych rozmiarach skrótu: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 i SHA-512/256.
Opracowany przez projektantów spoza NSA i wydany przez NIST w 2015 roku, jest kolejnym członkiem rodziny Secure Hash Algorithm o nazwie SHA-3 (dawniej Keccak).
SHA-3 nie ma zastąpić SHA-2, tak jak poprzednie wersje miały zastąpić wcześniejsze. Zamiast tego został opracowany jako kolejna alternatywa dla SHA-0, SHA-1 i MD5.
Jak jest używany SHA-1?
Jednym z rzeczywistych przykładów użycia SHA-1 jest wprowadzanie hasła na stronie logowania witryny. Chociaż dzieje się to w tle bez Twojej wiedzy, może to być metoda wykorzystywana przez witrynę do bezpiecznego sprawdzania, czy Twoje hasło jest autentyczne.
W tym przykładzie wyobraź sobie, że próbujesz zalogować się do często odwiedzanej witryny. Za każdym razem, gdy prosisz o zalogowanie, musisz podać swoją nazwę użytkownika i hasło.
Jeśli witryna korzysta z funkcji skrótu kryptograficznego SHA-1, oznacza to, że po wpisaniu hasło jest przekształcane w sumę kontrolną. hasło, niezależnie od tego, czy nie zmieniłeś hasła od czasu rejestracji, czy też zmieniłeś je przed chwilą. Jeśli te dwa elementy pasują do siebie, otrzymujesz dostęp; jeśli nie, zostaniesz poinformowany, że hasło jest nieprawidłowe.
Innym przykładem, w którym można użyć tej funkcji skrótu, jest weryfikacja plików. Niektóre witryny udostępniają sumę kontrolną SHA-1 pliku na stronie pobierania, więc po pobraniu pliku możesz samodzielnie sprawdzić sumę kontrolną, aby upewnić się, że pobrany plik jest taki sam, jak ten, który zamierzałeś pobrać.
Możesz się zastanawiać, jakie jest prawdziwe zastosowanie tego typu weryfikacji. Rozważ scenariusz, w którym znasz sumę kontrolną SHA-1 pliku z witryny dewelopera, ale chcesz pobrać tę samą wersję z innej witryny. Następnie możesz wygenerować sumę kontrolną SHA-1 do pobrania i porównać ją z oryginalną sumą kontrolną ze strony pobierania programisty.
Jeśli te dwa elementy są różne, oznacza to nie tylko, że zawartość pliku nie jest identyczna, ale może zawierać ukryte złośliwe oprogramowanie, dane mogą zostać uszkodzone i spowodować uszkodzenie plików na komputerze, plik nie jest cokolwiek związanego z prawdziwym plikiem itp.
Może to jednak po prostu oznaczać, że jeden plik reprezentuje starszą wersję programu niż drugi, ponieważ nawet tak niewielka zmiana wygeneruje unikalną wartość sumy kontrolnej.
Możesz również sprawdzić, czy te dwa pliki są identyczne, jeśli instalujesz dodatek Service Pack lub inny program lub aktualizację, ponieważ występują problemy, jeśli podczas instalacji brakuje niektórych plików.
Kalkulatory sum kontrolnych SHA-1
Do określenia sumy kontrolnej pliku lub grupy znaków można użyć specjalnego rodzaju kalkulatora.
Na przykład SHA1 Online i SHA1 Hash Generator to bezpłatne narzędzia online, które mogą generować sumę kontrolną SHA-1 dowolnej grupy tekstu, symboli i/lub liczb.
Te strony internetowe wygenerują na przykład tę parę:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
