SHA-1 (skrót od Bezpieczny algorytm skrótu 1 ) jest jedną z kilku kryptograficznych funkcji skrótu.
SHA-1 jest najczęściej używany do sprawdzania, czy plik nie został zmieniony. Odbywa się to poprzez utworzenie sumy kontrolnej przed przesłaniem pliku, a następnie ponownie po osiągnięciu miejsca docelowego.
Przesłany plik może być uważany za oryginalny tylko wtedy, gdy obie sumy kontrolne są identyczne.
Historia i luki w funkcji skrótu SHA
SHA-1 jest tylko jednym z czterech algorytmów z rodziny Secure Hash Algorithm (SHA). Większość została opracowana przez amerykańską Narodową Agencję Bezpieczeństwa (NSA) i opublikowana przez Narodowy Instytut Standardów i Technologii (NIST).
SHA-0 ma 160-bitowy rozmiar skrótu do wiadomości (wartość hash) i był pierwszą wersją tego algorytmu. Wartości mieszania SHA-0 mają długość 40 cyfr. Został opublikowany pod nazwą "SHA" w 1993 r., Ale nie był używany w wielu aplikacjach, ponieważ został szybko zastąpiony przez SHA-1 w 1995 r. Ze względu na lukę bezpieczeństwa.
SHA-1 jest drugą iteracją tej kryptograficznej funkcji skrótu. SHA-1 ma również skrócony komunikat 160 bitów i dążył do zwiększenia bezpieczeństwa poprzez naprawienie słabości znalezionej w SHA-0. Jednak w 2005 r. Okazało się, że SHA-1 jest niepewny.
Po wykryciu słabości kryptograficznych w SHA-1, NIST wydał oświadczenie w 2006 r. Zachęcające agencje federalne do przyjęcia użycia SHA-2 przed rokiem 2010. SHA-2 jest silniejszy niż SHA-1, a ataki przeciwko SHA-2 są mało prawdopodobne tak się dzieje z obecną mocą obliczeniową.
Nie tylko agencje federalne, ale nawet firmy takie jak Google, Mozilla i Microsoft albo rozpoczęły plany zaprzestania akceptowania certyfikatów SSL SHA-1, albo już zablokowały ładowanie tego typu stron.
Google udowodni kolizję SHA-1, która powoduje, że ta metoda nie jest wiarygodna do generowania unikatowych sum kontrolnych, niezależnie od tego, czy chodzi o hasło, plik, czy jakakolwiek inna część danych. Możesz pobrać dwa unikatowe pliki PDF z SHAttered, aby zobaczyć, jak to działa. Użyj kalkulatora SHA-1 na dole tej strony, aby wygenerować sumę kontrolną dla obu, a zobaczysz, że wartość jest dokładnie taka sama, nawet jeśli zawierają różne dane.
SHA-2 i SHA-3
SHA-2 został opublikowany w 2001 roku, kilka lat po SHA-1. SHA-2 zawiera sześć funkcji skrótu o różnych rozmiarach trawiennych: SHA-224 , SHA-256 , SHA-384 , SHA-512 , SHA-512/224 , i SHA-512/256 .
Opracowany przez projektantów spoza NSA i wydany przez NIST w 2015 roku, jest kolejnym członkiem rodziny algorytmów Secure Hash Algorithm o nazwie SHA-3 (dawniej Keccak ).
SHA-3 nie ma zastąpić SHA-2 tak, jak poprzednie wersje miały zastąpić wcześniejsze. Zamiast tego, SHA-3 został opracowany jako inna alternatywa dla SHA-0, SHA-1 i MD5.
W jaki sposób wykorzystuje się SHA-1?
Jednym z przykładów z prawdziwego świata, w którym można używać SHA-1, jest wpisanie hasła na stronie logowania do witryny. Choć dzieje się to w tle bez Twojej wiedzy, może to być metoda używana przez witrynę do bezpiecznego sprawdzenia, czy twoje hasło jest autentyczne.
W tym przykładzie wyobraź sobie, że próbujesz zalogować się do witryny, którą często odwiedzasz. Za każdym razem, gdy chcesz się zalogować, musisz podać swoją nazwę użytkownika i hasło.
Jeśli witryna korzysta z kryptograficznej funkcji skrótu SHA-1, oznacza to, że hasło jest zamieniane na sumę kontrolną po jej wprowadzeniu. Ta suma kontrolna jest następnie porównywana z sumą kontrolną przechowywaną w witrynie, która odnosi się do bieżącego hasła, niezależnie od tego, czy użytkownik Zmieniono twoje hasło od momentu rejestracji lub jeśli zmieniłeś je kilka chwil temu. Jeśli oba pasują, masz dostęp; jeśli nie, zostaniesz poinformowany, że hasło jest nieprawidłowe.
Innym przykładem użycia funkcji skrótu SHA-1 jest weryfikacja pliku. Niektóre strony internetowe dostarczają sumę kontrolną SHA-1 pliku na stronie pobierania, aby po pobraniu pliku sprawdzić sumę kontrolną dla siebie, aby upewnić się, że pobrany plik jest taki sam jak ten, który ma zostać pobrany.
Można się zastanawiać, gdzie w tym typie weryfikacji rzeczywiście ma zastosowanie. Rozważ scenariusz, w którym znasz sumę kontrolną SHA-1 pliku z witryny dewelopera, ale chcesz pobrać tę samą wersję z innej witryny. Następnie możesz wygenerować sumę kontrolną SHA-1 do pobrania i porównać ją z oryginalną sumą kontrolną ze strony pobierania programisty.
Jeśli oba są różne, oznacza to nie tylko, że zawartość pliku nie jest identyczna, ale że istnieje mógłby być ukrytym złośliwym oprogramowaniem w pliku, dane mogą być uszkodzone i spowodować uszkodzenie plików komputera, plik nie jest niczym w porównaniu z rzeczywistym plikiem itp.
Jednakże może to również oznaczać, że jeden plik reprezentuje starszą wersję programu niż druga, ponieważ nawet ta niewielka zmiana wygeneruje unikalną wartość sumy kontrolnej.
Możesz również sprawdzić, czy oba pliki są identyczne, jeśli instalujesz dodatek Service Pack lub inny program lub aktualizację, ponieważ występują problemy, jeśli brakuje niektórych plików podczas instalacji.
Kalkulatory sumy kontrolnej SHA-1
Do określenia sumy kontrolnej pliku lub grupy znaków można użyć specjalnego rodzaju kalkulatora.
Na przykład SHA1 Online i SHA1 Hash to darmowe narzędzia online, które mogą generować sumę kontrolną SHA-1 dowolnej grupy tekstu, symboli i / lub liczb.
Strony te będą na przykład generować sumę kontrolną SHA-1 bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba dla tekstu pAssw0rd! .
