کمیته رکن چهارم – در سال جاری از تاریخ ۹ می، بر روی مرورگرهای اِج مایکروسافت و اینترنت اکسپلورر ۱۱ از وبگاههایی که با استفاده از گواهینامههای SHA-۱ حفاظت میشوند، پشتیبانی نخواهد شد.
به گزارش کمیته رکن چهارم،تابع درهمسازی SHA-۱ در سال ۱۹۹۵میلادی معرفی شد و چندین بار اثبات شده که ناامن است. اولین حمله بر روی این الگوریتم به ۱۰ سال قبل برمیگردد. در سال ۲۰۱۵ میلادی نیز بر روی این الگوریتم حملهای صورت گرفت که هزینهی انجام حمله را کمتر کرده بود. اوایل امسال نیز شرکت گوگل نشان داد که اینگونه حملات رفتهرفته بسیار عملیاتی میشوند.
در حالیکه در چند سال گذشته، صنایع دیگر از SHA-۱ استفاده نمیکنند ولی باز هم هستند وبگاههایی که بر روی آنها از SHA-۱ استفاده شده است. از ژانویهی سال ۲۰۱۷، مراکز صدور گواهینامه با استفاده از این تابع درهمسازی گواهینامهای صادر نمیکنند و در ماه مارس نیز گزارش شده بود که تنها بر روی یک پنجم از وبگاه از این الگوریتم استفاده میشود. این میزان در مقایسه با سال قبل از کاهش چشمگیری برخوردار بوده است.
دیگر مرورگرهای وب تقریباً از ۲ سال قبل برنامهریزی کردند تا الگوریتم درهمسازی SHA-۱ را کنار بگذارند ولی با اینحال مایکروسافت سال قبل تأیید کرد که چنین برنامهای را در نظر دارد. مایکروسافت اعلام کرد در مرحلهی اول زمانی که کاربر بر روی مایکروسافت اج و اینترنت اکسپلورر ۱۱ از یک وبگاه با گواهینامهی SHA-۱ بازدید میکرد، هشداری به او نمایش داده میشود ولی از ابتدای این هفته، این وبگاهها دیگر بارگذاری نخواهند شد.
این شرکت اعلام کرد: «مایکروسافت توصیه میکند کاربران از الگوریتمهایی مانند SHA-۲ استفاده کنند چرا که استفاده از گواهینامههای SHA-۱ منسوخ شده و دیگر بهعنوان بهترین گزینه محسوب نمیشود. یکی از ضعفهای عمده در الگوریتم SHA-۱ امکان حملهی تصادم است. این حملات به مهاجمان سایبری اجازه میدهد گواهینامههایی را تولید کنند که امضای دیجیتال آن مشابه با امضای موجود در گواهینامهی اصلی است.»
موزیلا و گوگل نیز در مرورگرهای فایرفاکس و کروم از اوایل سال جاری، پشتیبانی از SHA-۱ را کنار گذاشتهاند. هدف نهایی در خصوص این موضوع این است که بتوانیم استفاده از الگوریتم درهمسازی SHA-۱ را در تمامی اینترنت از بین ببریم.
منبع:
