Google, SHA-1 Şifrelemesini kırmayı başardı. Google, SHA-1 karma değerini değiştirmeden bir PDF’yi değiştirmeyi başardı. Bu tür bir çarpışma, insanları değiştirilen belgenin orijinal olduğuna inanmaya zorlayabilir.
Google Şimdiye Kadarki İlk Başarılı SHA-1 Çarpışma Saldırısını Gerçekleştirdi
Araştırmacıların ve Google’ın SHA-1 şifrelemesini kırmaları iki yıl süren sıkı çalışma ve araştırma gerektirdi. Size SHA-1 şifrelemesinden bahsedeyim. SHA, Güvenli Hash Algoritması anlamına gelir. Amerika Birleşik Devletleri Ulusal Güvenlik Ajansı (NSA) tarafından tasarlanmış bir kriptografik hash fonksiyonudur ve bu algoritma ilk olarak 1995 yılında yayınlanmıştır.
SHA-1 şifrelemesi, şu anda tarama geçmişinizi korumak için ve Git depolarında kullanılan HTTPS sertifikaları için kullanılır. SHA-1 şifrelemesi, bir e-posta, parola, PDF veya başka herhangi bir kimlik bilgisi olsun, verilerin herhangi bir bilgisayar korsanı tarafından müdahale edilmediğini kanıtlamak için kullanılır.
Şimdi, en korkunç şey, Google’ın bir karma çarpışma oluşturarak tüm bu gerçekleri yanlış çevirmeyi başarmasıdır. Google, SHA-1 karma değerini değiştirmeden bir PDF’yi değiştirmeyi başardı. Bu tür bir çarpışma, insanları değiştirilen belgenin orijinal olduğuna inanmaya zorlayabilir.
Google, kendi güvenlik günlüğü “Bugün, SHA-1’in ilk tanıtılmasından 10 yıl sonra, bir çarpışma oluşturmak için ilk pratik tekniği duyuruyoruz. Bu, Amsterdam’daki CWI Enstitüsü ile Google arasındaki bir işbirliğinden doğan iki yıllık araştırmanın doruk noktasını temsil ediyor.”
Tüm çaba, teknoloji topluluğuna SHA-1 şifrelemesinin artık güvenli olmadığını göstermekti. Google, özellikle TLS sertifikalarının imzalanması söz konusu olduğunda, uzun yıllar boyunca SHA-1’i her zaman amorti etmiş olsa da. Hatta Google Chrome, 2014’ten beri SHA-1’in kullanımını aşamalı olarak kaldırıyor.
Google güvenlik blogu, “SHA-1’e yönelik pratik saldırımızın, protokolün artık güvenli kabul edilmemesi gerektiğini pekiştireceğini umuyoruz” yazdı ve endüstrinin SHA-256 gibi daha güvenli bir alternatife geçmesini önerdi.
Peki, şimdi hepiniz Google’ın şimdiye kadarki ilk SHA-1 Hash çarpışmasını nasıl gösterdiğini düşünüyor olabilirsiniz? Google, aynı SHA1 karma özelliğine sahip iki farklı PDF dosyası oluşturmuş ve daha sonra bulut altyapısını bir bilgisayara çarpışmada kullanmıştı. Google’ın şimdiye kadar tamamlanmış en büyük hesaplamalardan biri olan çarpışmayı hesapladığını söyleyeyim.
Google Güvenlik Blogu’na göre, bu hesaplamanın ne kadar büyük ölçekli olduğuna dair fikir veren bazı rakamlar:
- Toplamda dokuz kentilyon (9.223.372.036.854.75.808) SHA1 hesaplaması
- Saldırının ilk aşamasını tamamlamak için 6.500 yıllık CPU hesaplaması
- İkinci aşamayı tamamlamak için 110 yıllık GPU hesaplaması
Google, kodu 90 gün sonra açıklayacaklarını bile belirtmişti “Google’ın güvenlik açığı açıklama politikasını takiben, herkesin aynı SHA-1 toplamına hash olan bir çift PDF oluşturmasına izin veren kodu yayınlamadan önce 90 gün bekleyeceğiz. bazı ön koşullara sahip görüntüler. Bu saldırının etkin kullanımını önlemek için, Gmail ve PDF çakışma tekniğimizi algılayan GSuite kullanıcıları için korumalar ekledik.”
Google, bir İnternet sitesi tam saldırıyı göstermek için. şurayı okuyabilirsiniz Araştırma kağıdı. Peki, bunun hakkında ne düşünüyorsun? Görüşlerinizi aşağıdaki yorum kutusunda paylaşın.
