Hvað er SHA? Allt sem þú þarft að vita um Secure Hash Reiknirit

Í nútímanum eru upplýsingar ekki’t öruggt nema það hafi verið dulkóðað. Þetta þýðir að taka hvaða texta, grafík eða myndband sem þú hefur og beita stærðfræðilegum aðferðum til að gera það óhjákvæmilegt fyrir utanaðkomandi. Nema þeir hafi lykilinn að stærðfræði sem læsti það á öruggan hátt. Í heimi dulkóðunar gegna kjötkássaaðgerðir lykilhlutverki. Þessar reiknirit gera dulkóðunartæki kleift að taka handahófskenndan kóða eða texta og breyta þeim í föst, örugg klumpur af öruggum gögnum. Og í heimi hraðskreiðra öryggis er enginn mikilvægari en SHA fjölskyldan.

Þú gætir vel komist yfir SHA þegar þú notar raunverulegur einkanet eða reynir að tryggja viðskipti þín. Það’Það er ekki á óvart þar sem þetta kjötkássa er staðlaða dulkóðunaraðferðin á vefnum. Svo ef þú’hefur áhuga á öryggi á netinu, það’er eitthvað sem þú þarft að vita um. Látum’grafa dýpra og komast að því hvernig SHA reikniritið virkar og hvort það’er enn eins öruggt og áður.

Fljótleg kynning á Secure Hashing reikniritinu (SHA)

Í fyrsta lagi stendur SHA fyrir Secure Hashing reiknirit. Það’s síðustu tvö orð sem þarf að taka smá upp áður en við getum haldið áfram afbrigði af Secure Hashing reikniritinu, svo að’gerum það bara.

Hashing er lykilferli í alls konar dulkóðun. Í grundvallaratriðum, þegar þú byrjar með skilaboð sem þarf að dulkóða, verður það að fara í gegnum kjötkássaaðgerð áður en þau eru að fullu dulkóðuð.

Hashar eru óafturkræf ferli og þau eru almennt notuð sem sannvottunartæki. Af hverju? Vegna þess að þegar þú notar kjötkássa eins og SHA er hægt að bera það saman við upprunaskrár og tryggja að bæði passi saman. Þegar það gerist getur þú verið nokkuð viss um að gögnin hafa ekki verið’Ekki hefur verið átt við hana í flutningi.

Þess vegna er oft einnig vísað til SHA og svipaðra reiknirita “skráarathugun” aðgerðir. Án þeirra myndum við ekki’veit ekki hvort skrárnar sem við dulkóða og sendum berast rétt og hvort þær hafi verið skemmdar eða skemmdar af ásettu ráði.

The “reiknirit” hluti SHA benti á kjötkássa sem stærðfræðilega aðgerð. Það er, það virkar með því að beita safni stærðfræðilegrar reglna, tryggja jafnan árangur. Það gerir það ekki’Það þýðir að fólk getur séð fyrir sér niðurstöðu hraðakstursaðgerðarinnar. Það þýðir að fólk sem notar aðgerðina getur verið viss um að það virkar í hvert skipti.

Stutt saga um örugga hass algrím

sögu

Síðan 1993 hefur SHA verið þróað, viðhaldið og dreift af National Institute for Standards in Technology (NIST). Þetta er ríkisstofnun í Bandaríkjunum sem setur marga alþjóðlegu staðla sem stjórna því hvernig við notum internetið. Eins og saga SHA sýnir hefur stofnunin verið að gera stefnu síðan WWW var stofnað fyrst.

Samt sem áður’Það er mikilvægt að vita að SHA reikniritið hefur þróast í gegnum sögu sína. Reyndar var fyrsta útgáfan (SHA-0) fjarlægð úr umferð nánast beint eftir að hún kom út þegar NIST fann veikleika í heilleika þess. Því var fylgt eftir með SHA-1 sem hafði mun lengri geymsluþol. SHA-1 var samþykkt af Þjóðaröryggisstofnuninni og gerðist tæki í vinsælum bókunum eins og IPSec og SSL. En engu að síður, þegar gallar komu í ljós, var hassið smám saman í áföngum.

Árið 2010 mælti NSA með notkun SHA-2. SHA-3, sem var kynnt árið 2001, hefur nú gengið til liðs við þriðju SHA holdgunina sem birtist árið 2012. Þessar tvær útgáfur eru oftast notaðar af ríkisstofnunum og fyrirtækjum, þó að eldri útgáfum sé áfram beitt – þrátt fyrir öryggisgalla.

Við hverju er SHA notað?

SHA-2 og SHA-3 eru reglulega notuð af ríkisstofnunum til að tryggja að flokkaðar upplýsingar séu sendar án þess að þeim sé breytt ólöglega eða skemmt á leiðinni. Það’Það er vegna þess að hraðakstur gerir kleift að nánast vatnsþétt auðkenning á ósviknum gögnum – sem gerir fólki erfitt fyrir að lesa gögn án þess að þau séu greind.

Dulkóðunarhassið hefur einnig verið notað af fyrirtækjum til að vernda hugverk þeirra. Til dæmis notaði Nintendo útgáfu af SHA reikniritinu með Wii leikjatölvunum sínum, sem gerði þeim kleift að tryggja að aðeins staðfestir niðurhal gætu verið notaðir af spilurum.

Cryptocur Currency hefur einnig tekið til SHA reiknirita. Bitcoin notar hassið til að tryggja að hægt sé að staðfesta hver viðskipti á blockchain – sem gefur handhöfum traust á heilleika gjaldmiðilsins. Almennt öll kerfi sem nota “sönnun á hlut” auðkenni munu hafa tilhneigingu til að nota afbrigði af SHA.

Að skilja mismunandi gerðir af SHA reikniritinu

Eins og við bentum á hér að framan, hefur örugga hassalgrímið farið í gegnum fjölda mismunandi útgáfa, og það’s líklega gagnlegt til að hlaupa yfir mismuninn. Breytingin frá SHA-1 í SHA-2 var sérstaklega mikilvæg út frá netverndarmálum, þannig að við’Ég einbeiti mér að því nánar.

    • SHA-0 – Fyrsta útgáfan af hassalgríminu, SHA-0 var hratt hætt, en verkefnið hélt áfram þrátt fyrir þessa fyrstu bilun.
    • SHA-1 – þróað sem hluti af bandarískri ríkisstjórnarverkefni að nafni Capstone, SHA-1 tók tæknilega af hólmi SHA-0 árið 1995. Það gerði aðeins minni háttar breytingu á raunverulegu starfi SHA reikniritsins, en NSA fullvissaði notendur um að breytingarnar væru grundvallaratriði, og nýi staðallinn varð almennur um allan heim. Öryggissérfræðingar þróuðu þó aldrei fullt traust á hassinu. Með grein 2017 var Computerworld að lýsa SHA-1 sem “alveg óöruggt”, og greint frá því að mögulegt væri að búa til tvær .pdf skrár með sömu kjötkássa undirskrift. Sem betur fer var SHA-1 á leiðinni út þá.
    • SHA-2 – SHA-2 var stofnuð árið 2001 og er miklu flóknara dýrið. Síðan það var sleppt hefur það einnig farið í gegnum ýmsar þróanir og bætt við afbrigði með 224, 256, 384, 512, 224/512 og 512/256 bita meltingu (þess vegna vísa margir til SHA-2 sem “fjölskylda” af hassi). Oftast eru SHA-256 og SHA-512 kosturinn sem valið er og eru nú notaðir reglulega með vöfrum eins og Chrome eða Firefox til að staðfesta vefsíður.
    • SHA-3 – SHA-2 hefur verið til í langan tíma núna en umskiptin frá SHA-1 eru enn ekki lokið. Jafnvel svo, SHA-3 er nú mjög á dagskránni, kynntur árið 2015. Ástæðan fyrir þróun næstu kynslóðar öruggrar hassunaralgríms var einföld: SHA-2 hefur enn ekki’t þurrkaði út varnarleysi sem uppgötvaðist með SHA-1. SHA-3 segist vera miklu öruggari, hraðari og sveigjanlegri. Hins vegar er það með mun veikari stuðning við vélbúnað og hugbúnað en SHA-2, sem hefur dregið verulega úr samþykkt þess. Tími þess mun koma, vissulega, en í náinni framtíð mun litli bróðir hans vera ríkjandi hashing reiknirit. Þar að auki, NIST athvarf’Ég mælti samt ekki með að fara yfir í SHA-3, sjá reiknirit eins og SHA-256 sem fullkomlega hljóð.

Hvernig virkar SHA reikniritið?

Áður en við ræðum um nokkrar mögulegar varnarleysi sem fylgja SHA reikniritum, þá er það’Það er vel til þess fallið að taka saman hverjar flýti eru og hvernig þær virka, þar sem allar útgáfur hér að ofan virka meira og minna svipaðar línur.

Hashar taka skilaboð og umbreyta þeim í ASCII, síðan í tvöfaldan kóða, áður en þessum tvöfalda kóða er umbreytt í hass af réttri lengd (til dæmis 512 bitar). Þetta felur venjulega í sér að bæta við nægum núllum til að gera upp mismuninn.

Næst, hashing aðgerðin býr til rist af tvöföldum skilmálum, sem eru “umbreytt” með snúningum og XOR aðgerðum. Í lok röð umbreytinga (sem er mismunandi eftir því hvaða útgáfu þú ert að nota) situr þú eftir með fimm tvöfaldar breytur.

Þessar breytur er síðan hægt að þýða yfir á sextánskur og sameina þær saman í lokaáskriftina. Þú’höfum líklega séð þessa kóða, sem líta svona út: 8463d4bf7f1e542d9ca4b544a9713350e53858f0.

Ferlið er fræðilega óafturkræft (og verður að vera ef hashing aðgerðin er að virka). Það’S einnig gögn ákafur, sem krefst fjölda vinnsluaðgerða. Það hefur leitt til stöðugs drifs til að halda jafnvægi á öryggi og skilvirkni, svæði þar sem SHA-3 er talið skora mjög.

Jafnvel þótti SHA-1 einu sinni vera mjög öruggt. Reyndar hafa sérfræðingar reiknað það út “skepna afl” árásarmenn myndu þurfa tvær til valda 159 tilraunir til að framkvæma áhrifaríka árás. Það’er helvíti mikið vinnsluafl.

Ennþá, hashing isn’t eins öruggt og þú gætir haldið. Þó að þetta grunnferli hafi virkað vel í gegnum tíðina, hefur hraðskreiðar aðgerðir eins og SHA reiknirit verið miðaðar af tölvusnápur síðan þeir voru búnir til og fjölmargar varnarleysi hafa fundist.

Eru SHA reiknirit viðkvæm fyrir netárásum?

netárásir

Þrátt fyrir að hafa verið tekin upp af þjóðaröryggisstofnuninni og NIST hafa næstum allar útgáfur af öruggu hassalgríminu verið gagnrýndar í fortíðinni fyrir að innihalda hugsanlega banvæna veikleika og þessar varnarleysi eru eitthvað sem notendur þurfa að vera meðvitaðir um.

Árið 2005 sögðu sérfræðingar frá nokkrum veikleika SHA-1 sem bentu til þess að gamli staðallinn væri að verða úreltur. Frá 2005-2017, vísindamenn flísuðu burt fjölda þeirra aðgerða sem þarf til að brjóta SHA-1 kjötkássa, sem gerir það augljóst að hassið var næmara fyrir tölvusnápur en áður hafði verið talið.

Frægasta sönnunin var boðin af SHAttered verkefninu sem lagði fram tvo .pdfs með sama kjötkássa. Liðið þurfti samt að nota gríðarlega mikið af vinnsluorku (mikið af því frá Google), en niðurstaðan var látlaus: með tölvuhraða sem stækkaði hratt voru eldri hassar bráð viðkvæmir fyrir skepnum og árekstrarárásum.

Sömu mál sem uppgötvast með SHA-1 eiga við um SHA-2, þannig að fræðilega séð geta vefsíður, tölvupóstur, viðhengi, jafnvel vídeóar verið meðhöndlaðar með stafrænum undirskriftum og gert þær áhættusamar fyrir notendur. Google og Mozilla hafa viðurkennt þetta, áföngum SHA-1 og kynntar ávísanir til að ganga úr skugga um að SSL vottorð séu lögmæt. En þetta gerir það ekki’t veitir fulla vernd gegn óviðurkenndum undirskriftum.

Þarftu að tryggja öryggi þitt gegn árásum SHA?

Frá því að árekstrarhjúpanir SHA-1 komu fram árið 2017 hefur staðið yfir umræða um hvernig eigi að vernda almenna netnotendur og vefsíður gegn möguleikum á SHA árásum.

Eins og við tókum fram hafa helstu vafrar kynnt aukakannanir til að vernda notendur gegn SHA-1 veikleika, en það eru önnur skref sem þú gætir tekið. Notkun VPN getur til dæmis hjálpað til við að forðast árásarsíður – svo lengi sem VPN’eigin dulkóðun er ekki’hefur ekki áhrif á málefni SHA.

Margir VPN hafa brugðist við verkefnum eins og SHAttered með því að flytja burt frá SHA-1 og faðma SHA-2 – sem er jákvætt öryggisskref, og sýnir að VPN tekur málið alvarlega. Þeir geta einnig aukið málsmeðferð sína við að breyta hassi þegar búið er til dulkóðunargöng.

Samt sem áður eru sumir VPN veitendur á bak við ferilinn þegar kemur að hass algrím og griðastaði’t gripið til neinna aðgerða. Þeir benda oft á reikniskraftinn sem þarf til að framkvæma árásir eins og SHAttered og tiltölulega litla hættu á að dulkóðun þeirra verði miðuð.

Þetta virðist vera andvaralegt. Við vitum að vinnslugeta eykst og tækni eins og skammtafræðsla gæti tekið hana enn hærra – nokkuð hratt. Samanborið við breytingar á aðferðum sem tölvusnápur nota, gæti þetta orðið til þess að eldri reiknirit verða illa útundan, ásamt VPN sem nota þau.

Svo þó gögnin þín geti verið örugg núna, ættu allir VPN notendur að flytja til þjónustu sem eru meðvitaðir um áhættu tengd SHA. Leitaðu að veitendum sem nota SHA-2 sem staðlaða og hafa áætlanir um að almennu SHA-3 þegar mögulegt er. Forðastu alla þjónustu sem treystir á SHA-1. Það’er bara ekki þess virði að áhættan sé lengur.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me