Güvenlik araştırmacıları, SHA-1 hash işlevine ilk gerçek başarılı saldırıyı gerçekleştirdiler. Bunun anlamı basit: SHA-1'in artık güvenlik amaçlı kullanılmaması, mümkün olduğunca çabuk terk edilmesi gerekiyor.
İlk ortaya çıkışı 1995'lere dayanan SHA-1'in (Secure Hash Algorithm 1) 2005'ten bu yana bazı saldırılara açık olduğu biliniyor. ABD Ulusal Standartlar ve Teknoloji Enstitüsü, SHA-1'in ABD'deki federal birimlerde kullanılmasını yasaklamış, 1 Ocak 2016'dan itibaren dijital sertifika yetkililerinin SHA-1 ile imzalanmış sertifikalar yayınlamasına izin verilmemişti. Ancak kullanımdan kaldırma çabalarına rağmen SHA-1'in kredi kartı aktarımları, elektronik belgeler, eposta imzaları, açık kaynak kodlu yazılım depoları, yedekler ve yazılım güncellemelerindeki kullanımı devam etti.
SHA-1 gibi hash fonksiyonları, belirli bir veri parçasının şifreli temsilini oluşturmak üzere bir alfanümerik dizi oluşturmakta kullanılıyor. Buna digest adı veriliyor ve dijital imza yerine geçebiliyor. Eşsiz olan bu imzanın geriye dönüştürülmesinin mümkün olmaması gerekiyor. İki dosyanın aynı hash'e sahip olması, fonksiyonda şifrelemeyle ilgili bir sorun olduğu anlamına geliyor. Bu durumda örneğin saldırganlar, sahte bir güvenlik güncelleştirmesi oluşturup, bu güncellemenin dijital imza testlerinden başarıyla geçmesini sağlayabiliyorlar.
Google'a göre yapılan testler, şimdiye kadarki en büyük hesaplamalardan biri ve tek işlemciyle 6.500 yıllık hesaplamaya, tek GPU'yla 110 yıllık hesaplamaya denk geliyor. Peki SHA-1 çakışmalarının bulunmuş olması, büyük bir tehlike oluşturuyor mu? Hayır, ancak devlet çapında saldırıların düzenlenmesi mümkün olabilir. Araştırmacılar, diğer araştırmacıların faydalanabilmesi için üç ay içinde saldırıyı mümkün kılan kodu yayınlamayı planlıyorlar.
Bu ay yayınlanan Chrome 56'tan itibaren Chrome, SHA-1 ile imzalanmış tüm HTTPS sertifikalarını güvensiz sayıyor. Önde gelen diğer web tarayıcılarının üreticileri de aynı yolu izlemeyi planlıyorlar.
SHAttered adlı saldırı hakkında daha fazla bilgiye, saldırıya özel bu web sitesinden ve buradaki araştırma raporundan ulaşılabiliyor.