Компанії

Microsoft видалить всі завантаження Windows, в яких використовується алгоритм хешування SHA-1

4

Компанія Microsoft оголосила про намір видалити з «Центру завантаження» (Download Center) все завантаження Windows, які були підписані за допомогою алгоритму SHA-1 (Secure Hash Algorithm 1). Це відбудеться 3 серпня, а причина цього рішення криється в тому, що алгоритм SHA-1 ненадійний і може піддавати користувачів небезпеки в разі атак з боку зловмисників.

«SHA-1 — це застарілий алгоритм хешування, який, на думку багатьох фахівців у сфері інформаційної безпеки, більше не здатний забезпечити належний рівень захисту. Використання алгоритму SHA-1 в цифрових сертифікатах може дозволити зловмисникам модифікувати контент для проведення фішингових кампаній або атак типу «людина посередині», — йдеться в повідомленні Microsoft.

Варто відзначити, що Microsoft рекомендувала відмовитися від використання SHA-1 для підпису цифрових сертифікатів ще в 2013 році. Незважаючи на те, що опис злому функцій алгоритму SHA-1 з’явилося в 2005 році, першу успішну атаку на його основі вдалося провести тільки в 2017 році, коли дослідникам у сфері інформаційної безпеки вдалося створити два файли з однаковим хешем SHA-1.


Проблеми безпеки алгоритму SHA-1 змусила Microsoft і багатьох інших розробників відмовитися від використання алгоритму для створення сертифікатів. В даний час для підпису цифрових сертифікатів рекомендується використовувати алгоритм SHA-2, який вважається більш захищеним. Наприклад, пристрої без підтримки SHA-2 перестали отримувати оновлення Windows ще влітку минулого року.

Comments

Leave a reply