Google právě prolomil jeden ze stavebních kamenů šifrování webu (ale nebojte se)

Pro SHA-1 je po všem

treska 4 aimbot

Google dnes vytvořil zásadní vlny ve světě kryptografie,oznamujícínaveřejná kolizev algoritmu SHA-1. Je to smrtelný úder na dříve jeden z nejpopulárnějších algoritmů v kryptografii a krize pro kohokoli, kdo tuto funkci stále používá. Dobrá zpráva je, že téměř nikdo stále nepoužívá SHA-1, takže nemusíte spěchat a instalovat žádné opravy. Dnešní oznámení je ale stále velkou mocí od Googlu, která má skutečné důsledky pro celkové zabezpečení webu.



Stejně jako většina kryptografií se to může trochu zkomplikovat, takže je pravděpodobně nejlepší začít od samého začátku ...



Co se právě stalo?

Google veřejně porušil jeden z hlavních algoritmů šifrování webu, nazývaný SHA-1. Vědci společnosti ukázali, že s dostatečným výpočetním výkonem - zhruba 110 let výpočtu z jediného GPU pouze pro jednu z fází - můžete vyvolat kolizi a účinně tak porušit algoritmus. Víme, že to bylo možné už nějakou dobu, ale nikdo to neudělal, částečně kvůli možnému spadu.

Úder smrti kdysi populárnímu algoritmu

V souladu se svými zásadami zveřejňování Google čeká 90 dní na to, aby přesně řekl, jak to udělali - ale jakmile bude důkaz o konceptu k dispozici, kdokoli s dostatečným výpočetním výkonem bude schopen vyvolat kolizi SHA-1, čímž se algoritmus vykreslí nejisté a zastaralé.



Je těžké říci, zda jsou výzkumníci Google prvními, kdo to dělají (NSA), ale jsou první, kdo o tom hovoří, což má zásadní důsledky pro kohokoli, kdo SHA-1 stále používá.

Co vlastně SHA-1 dělá?

SHA-1 jehashovací funkce, který z daného souboru vytvoří digitální otisk prstu. To vám umožní ověřit integritu souboru, aniž byste odhalili celý soubor, jednoduše kontrolou hodnoty hash. Pokud funkce hash funguje správně, každý soubor vytvoří jedinečný hash - takže pokud se hash shoduje, budou se shodovat i samotné soubory. To je zvláště důležité pro přihlašovací systémy, které potřebují ověřit, zda je heslo správné, aniž by samotné heslo bylo vystaveno.

Co je to kolize a proč na ní záleží?

Kolize je to, co se stane, když dojde k přerušení funkce hash a dva soubory vytvoří stejný hash. To by mohlo útočníkovi umožnit propašovat škodlivý soubor, protože sdílí jeho hash s legitimním souborem. Jako důkaz konceptu dnešního oznámení zveřejnil Googledva Soubory PDFkteré při běhu SHA-1 produkují stejný hash.



Z praktického hlediska lze použít rozbitou hashovací funkci k rozbití HTTPS, šifrovacího systému, který nyní chránívíce než polovina webu. Více o tomto systému se můžete dozvědět z níže uvedeného podcastu (existuje celá metafora prokletí páskové stuhy; je to skvělé), ale podstata spočívá v tom, že zaručuje, že obsah, který vidíte na Wikipedia.com, skutečně pochází z Wikipedie a nemá ' Po cestě nebylo s nimi manipulováno. Pokud se tento systém rozbije, zločinci by mohli snadno vložit malware do webového provozu od napadeného poskytovatele internetových služeb nebo jiného poskytovatele sítě.

Měl bych se bát?

Pokud si nezvyknete klikat skrz tyto strašidelné červené obrazovky, budete v pořádku. Kryptografové předpovídali takovou srážkupo celá léta, tvorbastále konkrétnější předpovědio tom, jak byste jeden vyrobili a kolik výpočetního výkonu by to vyžadovalo. Je to poprvé, co někdo vypálil čas serveru, aby to skutečně udělal, ale my jsme věděli, že něco takového je možné už nějakou dobu.

Výsledkem je, že většina webů již SHA-1 upustila.Ještě v roce 2014bylo používáno až 90 procent šifrování na webu, ale od té doby bylo většinou opuštěno.Od 1. ledna, každý hlavní prohlížeč vám při návštěvě webu zabezpečeného pomocí SHA-1 zobrazí velké červené varování. Je těžké říci, kolik z těchto webů zbývá, ale každý, kdo má v polovině slušného poskytovatele certifikátů, je již v bezpečí.

SHA-1 se stále používá na několika místech mimo šifrování webu - zejména úložiště Git - ale vzhledem k tomu, jak dlouho byl algoritmus zastaralý, by širší dopad neměl být tak rozšířený.

Proč to Google udělal?

Krátká verze je, že chtěli vyhrát spor. Vyřazení SHA-1 zabralo v tomto odvětví spoustu času a úsilí a ne každý to dychtil. Výsledkem byl průběžný boj o to, jak rychle provést změnu - s týmem zabezpečení Google Chrome, který poskytuje jeden z nejhlasitějších hlasů pro rychlejší přechod. Chrome nutil webové stránky od SHA-1 od roku 2014, dlouho předtím, než začaly tvrdě zasahovat jiné prohlížeče. Firefox se také poměrně rychle uchytil, když Microsoft Edge a IE přinesly zadní část.

samsung 4 kamery
Toto je boj o to, jak bezpečný musí být web

Počáteční kroky prohlížeče Chrome způsobily mezi poskytovateli certifikátů velký zármutek - ale nyní, když došlo ke kolizi konceptu konceptu, vypadá tým zabezpečení Chrome docela chytře. Pokud bychom poslouchali pomalé pohyby, mohla by být tato kolize velkým problémem! Místo toho se odvětví pohybovalo rychle, všichni jsou v bezpečí a my musíme psát blogové příspěvky, abychom vysvětlili, proč je to vůbec důležité.

V širším smyslu jde o boj o to, jak bezpečný web musí být. Pokud vyrábíte smartphony nebo prodáváte aplikace, možná si nemyslíte, že stojí za to vynutit celý web neklidným algoritmem. Co na tom záleží, když se pár janky webů pomalou cestou mění? Google je však stále webovou reklamní společností, což znamená, že jakékoli selhání zabezpečení webu je existenční hrozbou. Kdykoli dojde k přerušení algoritmu, jako je SHA-1, reklamní sítě jsou cílené jako první, takže společnost Google investuje značné prostředky do zajištění toho, aby tyto šifrovací systémy fungovaly. A protože se reklamy Google zobrazují na celém webu, musí zajistit, aby byli všichni na palubě. Někdy to znamená prasknutí několika hlav!

I když by se to mohlo zdát jako matematická kuriozita, toto je pro Google skutečně vítězný okruh - a ten, který stojí docela dost času na serveru. Lidé říkali, že SHA-1 je nejistá už léta a teď všichni víme, že měli pravdu. Naštěstí jsme všichni poslouchali krypto lidi a nic příliš vážného se nezlomilo. Nemáš zač.