کمیته رکن چهارم – مایکروسافت میگوید به علت نا امن بودن بارگیری فایلها از طریق الگوریتم SHA-1، کلیه فایلهای دانلود مربوط به ویندوز را که با الگوریتم SHA-1 رمزنگاری شدهاند، در تاریخ ۱۳ مرداد ۹۹ از دانلود سنتر خودش حذف کرده است.
سازنده سیستم عامل بیان کرد امنیت الگوریتم SHA-1 تغییر پیدا کرده است. “SHA-1 یک هش رمزنگاری شده است که بسیاری از افراد جامعه امنیتی بر این باورند که دیگر امنیت ندارد. استفاده از الگوریتم SHA-1 در گواهینامههای دیجیتالی میتواند به یک مهاجم اجازه دهد که محتوا را فریب دهد و حملات فیشینگ یا حمله man-in-the-middle را انجام دهد.”
SHA-1 از سال ۲۰۱۶ شکسته شد. اکثر شرکتهای نرم افزاری پس از شکسته شدن عملکرد SHA-1 در فوریه ۲۰۱۶ توسط تیمی از دانشگاهیان، شروع به کنار گذاشتن الگوریتم SHA-1 کردند.
هنگامی که رمزنگاران گوگل، SHAttered را فاش کردند، این الگوریتم در فوریه ۲۰۱۷ در یک حمله در دنیای واقعی شکسته شده بود – روشی که میتواند باعث شود دو فایل مختلف با SHA-1 یکسانی وجود داشته باشد. در آن زمان، برخورد با SHA-1 از نظر محاسباتی بسیار گران به حساب میآمد و کارشناسان گوگل تصور میکردند که SHA-1 میتواند حداقل در مدت نیم دهه در عمل مورد استفاده قرار گیرد تا زمانی که هزینه ها کاهش یابد.
با این حال، تحقیقات بعدی که در ماه مه ۲۰۱۹ و در ژانویه سال ۲۰۲۰ منتشر شد، متدولوژی جدیدی را برای کاهش هزینه حمله SHA-1 به زیر ۱۱۰،۰۰۰ دلار و سپس به زیر ۵۰،۰۰۰ دلار، معرفی کرد.
از سال ۲۰۱۶، سازندگان نرم افزار، SHA-1 را اغلب به دلیل جایگزینی با SHA-2 رها کردهاند. گوگل در پایان ژانویه ۲۰۱۷ پشتیبانی SHA-1 را از Chrome با عرضه Chrome 56 حذف کرد. فایرفاکس پشتیبانی SHA-1 را در Firefox 51 حذف کرد که در پایان ژانویه ۲۰۱۷ منتشر شد. مایکروسافت در اواسط سال ۲۰۱۷ پشتیبانی از SHA-1 در Edge و Internet Explorer را کاهش داد.
اپل پس از حذف SHA-1 از iOS 13 ،macOS Catalina و OpenSSH اعلام کرد که قصد دارد استفاده از SHA-1 را برای روند ورود به سیستم کاهش دهد.
مایکروسافت، از آگوست سال ۲۰۱۹، دیگر از SHA-1 برای تأیید صحت به روزرسانیهای سیستم عامل Windows استفاده نمیکند. در حال حاضر، مایکروسافت در حال جایگزینی SHA-1 با SHA-2 در میان محصولات خود است.
با این حال سازنده سیستم عامل مشخص نکرده است که آیا فایلهای مربوط به ویندوز که از روز دوشنبه از مرکز دانلود آن حذف شده اند با لینکهای دانلود جدید که با SHA-2 انجام شدهاند، جایگزین خواهند شد یا خیر. بسیاری از سازندگان نمی دانند که آیا از این پس قادر خواهند بود برخی از ابزارهای قدیمی مایکروسافت را دانلود کنند یا خیر.
منبع: پایگاه اطلاعرسانی پلیس فتا
