Svaghed i SHA-1 bevist

23 februar 2017

At SHA-1 certifikater i teorien er sårbare over for efterligning er ikke noget nyt. Tilbage i 2014 fremmede man allerede skiftet til den nye SHA-2-algoritmen. I dag har en hollandsk forsker knækket SHA-1 i praksis.

Hvad betyder det?

Efter mange års forskning, har den hollandske forsker Marc Stevens fra CWI Amsterdam (Research Institute for Matematik og Datalogi) knækket SHA-1-algoritmen i praksis. For at knække SHA-1, har Google tillad ham at lave 9,2 billioner beregninger på deres servere. Denne proces tog måneder, men det har bevist, at SHA-1 kan knækkes i praksis.

Kvalitative hashing funktioner udskiller sig ved at have en lille chance for at give den samme hash. Sammenkædning af et fingeraftryk med en hash er unik, hvilket forhindrer muligheden for at give den samme hash to gange. Stevens formået at give to PDF-filer samme fingeraftryk, hvilket resulterer i at SHA-1 er knækket i praksis.

Hvad er SHA-1?

Certifikat myndigheder generere SSL certifikater og signerer dem digitalt. Der findes flere algoritmer til at signere et certifikat. Blandt andet anvendes SHA-1 og SHA-2. Svagheder og sårbarheder er fundet i SHA-1 algoritmen, hvilket betød, at den Nationale Institut for Standarder og Teknologi (NIST) siden 2014 har anbefalet at man signerer certifikater med SHA-2. Certifikat myndigheder signerer ikke længere SSL certifikater med SHA-1 og browsere understøtte ikke længere de gamle certifikater, som er signeret med SHA-1 algoritmen.

Hvad vil der ske med SHA-1?

Selvom SHA-1 allerede i lang tid ikke understøttes mer, findes der stadig SHA-1 certifikater i omløb. Ifølge Netcraft statistikkerne fra februar 2017 blev der brugt ca. 135.000 SHA-1-certifikater. Desværre er ældre systemer som regel ikke kompatibel med SHA-2 og tvinger til at bruge af den usikre alternativ SHA-1. Denne forskning viser, at overgangen til en nyere og mere sikkert alternativ haster. Bruger du stadig et SHA-1-certifikat? Erstattet det gratis med et SHA-2 certifikat nu.

Mere information kan findes på https://shattered.io/

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.