Google, CWI ile yaptığı toplantıda milyonlarca bilgisayardaki verilerin korunması adına oluşturulan SHA-1 kod algoritmasının bir saldırı türüyle çözülebildiğini açıkladı.
Ellie Burzstein ve Marc Stevens’in liderlik ettiği araştırmaların sonucunda Google, SHA-1 algoritmasının artık emekli edilmesi konusunda bir öneri sundu. 2014 yılından bu yana kullanılan bu algoritma için Google, SHA-1 algoritmasının uzunca bir süre kullanılmamasını, bu bağlamda hiç bir TLS sertifikasının imzalanmaması gerektiğini söyledi ve bunun üzerine SHA-3 veya SHA-256 gibi daha güvenli sistemlerin kullanılması için gereken her şeyin yapılacağını da yineledi.
SHA-1 teriminin ne olduğunu bilmeyen arkadaşlarımız varsa, SHA-1 güvenli tarayıcı elde etmek ve internetteki verilerin korunması ile alakalı üretilmiş bir şifreleme türüdür. Hash (karıştırma) işlemi mesaj özetine sıkıştırılır. Bununla beraber üretilen teoriler hesaplama gücüne yapılan bir saldırının, işlemin başarısız olmasına neden olabileceğini ortaya çıkardı.
Şifrelerin Çakışması Durumu
Stevens 2013 yılında SHA-1 şifrelemesi üretimi hakkında bir bildiri yayınladı. İki tane görsel ek içeren bir PDF belgesini iki ayrı ekip tamamladı ve gün sonunda SHA-1 özeti aynıydı. Araştırmacılar, şirketin bulut altyapısını ve teknik uzmanlığını, tamamlanmış en büyük hesaplamalardan birini oluşturmak için kullandılar. Toplam dokuz quantilyon (Sona 18 sıfır) SHA-1 işlemi yapıldı. 6500 yıllık CPU(Central Process Unit = İşlemci) araştırma saldırıları tamamlandı ve ikinci ayak olan GPU(Graphical Process Unit = Ekran Kartı İşlemcisi) araşırma saldırılarına ihtiyaç duyuldu. O dönemde en çok kullanılan Brute Force (Kaba Kuvvet) saldırısından 100.000 kat daha hızlı olduğu açıklandı ancak bu da yeterli değildi. Güvenlik açığı ortaya çıkarma politikasına dayanarak, Google kodun yayımlanmasından 90 gün önce herkese SHA-1 hakkında bir PDF açıklaması göndermeyi taahhüt etti.
Sha-1 Aşamalı Olarak Kaldırılacak
Trend Micro’nun Bulut Bilişim Araştırmacısı Mark Nunnikhoven’e göre bu kriptoyu kullananlarının hepsi büyük risk altında. E-Ticaret Times’a “Uygulamalı sonuçlar, yedi yıl veya daha eski SHA-1’i dijital imza, araştırma doğrulama veya dosya karşılaştırması için hala kullanabilen bazı eski sistemlerin bu saldırıya karşı savunmasız olabileceğidir.” açıklamasını yaptı. NIST ise bu algoritmanın güvenlikten tamamen uzaklaştığını söyleyerek algoritmayı reddetti. Diğer yorumculardan Proofpoint güvenlik merkezi araştırmacısı Kevin Epstein, SHA-1 algoritmasının sahte olabileceğini ve başka bir kriptoyla değiştirilmesini öngördü. Böylesine ileri araştırmalar sonucu SHA-1’ın güvenlik zafiyetli seçeneği biraz bizleri ürkütse de, Google yine güncel bir şifreleme sistemi devreye sokarak güvenliğimizi sağlama alacaktır.
Yorumlarınız ve eklemek istedikleriniz olursa yorum yoluyla bize sorabilirsiniz. Sağ üst taraftaki Mail Aboneliği kısmından bize abone olabilir, en güncel yayınlarımızdan ilk siz haberdar olabilirsiniz.
