Nacionalni CERT

Izveden prvi SHA-1 napad kolizijom

Google je objavio kako je SHA-1 sigurnosni algoritam postao službeno zastarjelim nakon što je uspješno izveden prvi napad kolizijom. SHA-1 je sigurnosni algoritam koji se koristi za generiranje kriptografskih sažetaka koji bi, u teoriji, trebali biti jedinstveni za svaki odsječak podataka te bi trebali jamčiti autentičnost datoteke.

Sigurnosni algoritam SHA-1 razvila je Agencija za nacionalnu sigurnost SAD-a (NSA) te je algoritam pušten u opticaj 1995. godine. Da ga je načeo zub vremena pokazalo se 2005. godine kada je skupina stručnjaka za šifriranje otkrila teoretske propuste koji bi mogli poslužiti za kompromitaciju SHA-1 pomoću napada kolizijom. Ovaj tip napada podrazumijeva stvaranje nove datoteke s jednakim SHA-1 kriptografskim sažetkom od strane napadača te zamjenu postojeće valjane datoteke novom, kompromitiranom datotekom uz veoma malu mogućnost otkrivanja napada.

Iako su stručnjaci za šifriranje savjetovali tvrtkama da naprave prijelaz sa SHA-1 na novije SHA-2 i SHA-3 sigurnosne algoritme, značajan je pad popularnosti SHA-1 doživio tek 2015. godine kada je objavljen dokument naziva "The SHAppening" u kojem je prikazano na koji način povećanje računalne moći umanjuje enkripcijsku moć SHA-1 algoritma. Nedugo nakon što je objavljen "The SHAppening", tvrtke iza preglednika poput Firefoxa, Chromea i Edgea započele su s ubrzanim prelaskom na neki od novijih sigurnosnih algoritama.

Google se ubrzo nakon izlaska ovog dokumenta obratio dvojici istraživača koji su sudjelovali u navedenom radu te im ponudio mogućnost daljnjeg istraživanja SHA-1 sigurnosnog algoritma uz pomoć Googleovih stručnjaka za šifriranje. Zahvaljujući računalnim resursima što ih je Google dao na raspolaganje, ovaj je tim stručnjaka objavio nedavno novi dokument u kojem je potanko opisan SHA-1 napad kolizijom. Kao dokaz su priložena dva .pdf dokumenta različitog sadržaja, ali s istim enkripcijskim sažetkom.

Dobra je vijest što su istraživači opisali SHA-1 napad kolizijom kao jedan od najvećih računalnih izazova u povijesti te navode kako napad ovog tipa neće biti financijski moguće izvesti u doglednoj budućnosti.

Unatoč tome, Google planira objaviti kod koji je korišten prilikom napada u roku od 90 dana, što daje vremena tvrtkama da naprave prijelaz na neki od pouzdanijih sigurnosnih algoritama. 

24.02.2017