SHA-1 (lyhenne sanoista Secure Hash Algorithm 1) on yksi useista kryptografisista hajautusfunktioista.
Sitä käytetään useimmiten varmistamaan, että tiedosto on muuttumaton. Tämä tehdään tuottamalla tarkistussumma ennen tiedoston lähettämistä ja sitten uudelleen, kun se saavuttaa määränpäänsä.
Lähetettyä tiedostoa voidaan pitää aidona vain, jos molemmat tarkistussummat ovat identtisiä.
SHA-hajautusfunktion historia ja haavoittuvuudet
SHA-1 on vain yksi neljästä Secure Hash Algorithm (SHA) -perheen algoritmista. Suurimman osan niistä on kehittänyt Yhdysv altain kansallinen turvallisuusvirasto (NSA) ja julkaissut National Institute of Standards and Technology (NIST).
SHA-0:lla on 160-bittinen viestitiivistelmä (hash-arvo), ja se oli tämän algoritmin ensimmäinen versio. Sen hash-arvot ovat 40 numeroa pitkiä. Se julkaistiin nimellä "SHA" vuonna 1993, mutta sitä ei käytetty monissa sovelluksissa, koska se korvattiin nopeasti SHA-1:llä vuonna 1995 tietoturvavirheen vuoksi.
SHA-1 on tämän kryptografisen hajautusfunktion toinen iteraatio. Tässä on myös 160-bittinen sanomatiiviste, ja se pyrki lisäämään turvallisuutta korjaamalla SHA-0:n heikkouden. Vuonna 2005 SHA-1 havaittiin kuitenkin myös turvattomaksi.
Kun SHA-1:stä löydettiin kryptografisia heikkouksia, NIST antoi vuonna 2006 lausunnon, jossa se rohkaisi liittov altion virastoja ottamaan käyttöön SHA-2:n vuoteen 2010 mennessä. SHA-2 on vahvempi kuin SHA-1, ja hyökkäyksiä on tehty. SHA-2:ta vastaan ei todennäköisesti tapahdu nykyisellä laskentateholla.
Ei vain liittov altion virastot, vaan jopa Googlen, Mozillan ja Microsoftin k altaiset yritykset ovat joko alkaneet lopettaa SHA-1 SSL -sertifikaattien hyväksymisen tai ovat jo estäneet tällaisten sivujen latautumisen.
Googlella on todisteet SHA-1-törmäyksestä, joka tekee tästä menetelmästä epäluotettavan yksilöllisten tarkistussummien luomisessa, olipa kyse sitten salasanasta, tiedostosta tai muusta tiedosta. Voit ladata kaksi ainutlaatuista PDF-tiedostoa SHAtteredistä nähdäksesi, miten tämä toimii. Luo tarkistussumma molemmille tämän sivun alareunassa olevalla SHA-1-laskimella, niin huomaat, että arvo on täsmälleen sama, vaikka ne sisältävät eri tietoja.
SHA-2 ja SHA-3
SHA-2 julkaistiin vuonna 2001, useita vuosia SHA-1:n jälkeen. Se sisältää kuusi hash-funktiota eri tiivistelmäkooilla: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 ja SHA-512/256.
Muiden kuin NSA:n suunnittelijoiden kehittämä ja NIST julkaisi vuonna 2015. Se on toinen Secure Hash Algorithm -perheen jäsen, nimeltään SHA-3 (entinen Keccak).
SHA-3 ei ole tarkoitettu korvaamaan SHA-2:ta, kuten aiempien versioiden oli tarkoitus korvata aikaisemmat versiot. Sen sijaan se kehitettiin vain toiseksi vaihtoehdoksi SHA-0:lle, SHA-1:lle ja MD5:lle.
Miten SHA-1:tä käytetään?
Yksi tosielämän esimerkki, jossa SHA-1:tä voidaan käyttää, on, kun kirjoitat salasanasi verkkosivuston kirjautumissivulle. Vaikka se tapahtuu taustalla tietämättäsi, se voi olla tapa, jolla verkkosivusto varmistaa turvallisesti, että salasanasi on aito.
Kuvittele tässä esimerkissä, että yrität kirjautua sisään verkkosivustolle, jolla vierailet usein. Joka kerta kun pyydät kirjautumista, sinun on annettava käyttäjätunnuksesi ja salasanasi.
Jos verkkosivusto käyttää SHA-1 kryptografista hajautustoimintoa, se tarkoittaa, että salasanasi muutetaan tarkistussummaksi sen syöttämisen jälkeen. Tätä tarkistussummaa verrataan sitten verkkosivustolle tallennettuun tarkistussummaan, joka liittyy nykyiseen salasanaasi salasana, etkö ole vaihtanut salasanaasi rekisteröitymisen jälkeen tai jos vaihdoit sen vain hetki sitten. Jos nämä kaksi täsmäävät, sinulle myönnetään käyttöoikeus. jos he eivät, sinulle kerrotaan, että salasana on väärä.
Toinen esimerkki, jossa tätä hash-toimintoa voidaan käyttää, on tiedostojen varmentamiseen. Jotkin sivustot tarjoavat tiedoston SHA-1-tarkistussumman lataussivulla, jotta voit tarkistaa tiedoston lataamisen yhteydessä itse varmistaaksesi, että ladattu tiedosto on sama kuin se, jonka aiot ladata.
Saatat ihmetellä, missä tämän tyyppisessä vahvistuksessa on todellista käyttöä. Harkitse tilannetta, jossa tiedät kehittäjän verkkosivuston tiedoston SHA-1-tarkistussumman, mutta haluat ladata saman version toiselta verkkosivustolta. Voit sitten luoda SHA-1-tarkistussumman latauksellesi ja verrata sitä kehittäjän lataussivun aitoon tarkistussummaan.
Jos nämä kaksi ovat erilaisia, se ei vain tarkoita sitä, että tiedoston sisältö ei ole identtinen, vaan tiedostossa saattaa olla piilotettuja haittaohjelmia, tiedot voivat vioittua ja vahingoittaa tietokoneen tiedostoja, tiedosto ei ole mitä tahansa oikeaan tiedostoon liittyvää jne.
Se voi kuitenkin tarkoittaa myös vain sitä, että yksi tiedosto edustaa ohjelman vanhempaa versiota kuin toinen, koska pienikin muutos luo ainutlaatuisen tarkistussumman.
Voit myös tarkistaa, että nämä kaksi tiedostoa ovat identtisiä, jos olet asentamassa Service Pack -pakettia tai muuta ohjelmaa tai päivitystä, koska ongelmia ilmenee, jos jotkin tiedostot puuttuvat asennuksen aikana.
SHA-1 tarkistussummalaskurit
Erityistä laskinta voidaan käyttää määrittämään tiedoston tai merkkiryhmän tarkistussumma.
Esimerkiksi SHA1 Online ja SHA1 Hash Generator ovat ilmaisia verkkotyökaluja, jotka voivat luoda SHA-1-tarkistussumman mille tahansa teksti-, symboli- ja/tai numeroryhmälle.
Nämä sivustot luovat esimerkiksi tämän parin:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
