Google knakk bare en av byggesteinene for nettkryptering (men ikke bekymre deg)

Det er over for SHA-1

kroppen Netflix

I dag ga Google store bølger i kryptografiverden,kunngjørtiloffentlig kollisjoni SHA-1-algoritmen. Det er en dødsslag for det som en gang var en av de mest populære algoritmene i kryptografi, og en krise for alle som fortsatt bruker funksjonen. Den gode nyheten er at nesten ingen fortsatt bruker SHA-1, så du trenger ikke å skynde deg og installere noen oppdateringer. Men dagens kunngjøring er fortsatt et stort maktspill fra Google, med reelle implikasjoner for websikkerhet generelt.



Som de fleste kryptografier kan det bli litt komplisert, så det er sannsynligvis best å starte helt fra begynnelsen ...



Hva skjedde nå?

Google brøt offentlig en av de største algoritmene innen nettkryptering, kalt SHA-1. Selskapets forskere viste at med nok datakraft - omtrent 110 års databehandling fra en enkelt GPU for bare en av fasene - kan du produsere en kollisjon og effektivt bryte algoritmen. Vi har visst at dette var mulig en stund, men ingen har gjort det, delvis på grunn av det mulige nedfallet.

Et dødsfall mot en en gang så populær algoritme

I samsvar med retningslinjene for avsløring venter Google 90 dager på å si nøyaktig hvordan de gjorde det - men når proof-of-concept er ute, vil alle med nok datakraft kunne produsere en SHA-1-kollisjon, noe som gjengir algoritmen både usikker og foreldet.



Det er vanskelig å si om Googles forskere er de første som gjør dette (NSA), men de er de første som snakker om det, noe som har store implikasjoner for alle som fortsatt bruker SHA-1.

Hva gjør SHA-1 egentlig?

SHA-1 eren hashing-funksjon, som produserer et digitalt fingeravtrykk fra en gitt fil. Dette lar deg bekrefte en fils integritet uten å eksponere hele filen, bare ved å sjekke hashen. Hvis hashfunksjonen fungerer som den skal, vil hver fil produsere en unik hash - så hvis hashene stemmer overens, vil også filene i seg selv matche. Det er spesielt viktig for påloggingssystemer som trenger å bekrefte at passordet er riktig uten å utsette passordet selv.

Hva er en kollisjon og hvorfor betyr det noe?

En kollisjon er det som skjer når en hashing-funksjon går i stykker, og to filer gir samme hash. Det kan tillate en angriper å smugle inn en ondsinnet fil fordi den deler hash med en legitim fil. Som bevis på konseptet for dagens kunngjøring publiserte Googleto PDF-filerat, gjennom SHA-1, produserer den samme hasjen.



Rent praktisk kan en ødelagt hash-funksjon brukes til å bryte HTTPS, krypteringssystemet som nå beskyttermer enn halvparten av nettet. Du kan lære mer om dette systemet fra podcasten nedenfor (det er en hel metafor med bånd-forbannelse; det er flott), men kjernen er at det garanterer at innholdet du ser på Wikipedia.com virkelig kommer fra Wikipedia og ikke har ' ikke blitt tuklet med underveis. Hvis systemet går i stykker, vil det være lett for kriminelle å sette inn malware i webtrafikk fra en kompromittert Internett-leverandør eller annen nettverksleverandør.

Skal jeg være bekymret?

Med mindre du pleier å klikke gjennom de skumle røde skjermene, vil du ha det bra. Kryptografer har spådd en kollisjon som dennei årevis, lagerstadig mer spesifikke spådommerom hvordan du vil produsere en og hvor mye datakraft det vil ta. Dette er første gang noen brenner servertiden for å gjøre det, men vi har visst at noe slikt var mulig en stund.

Som et resultat har de fleste nettsteder allerede falt SHA-1.Så sent som i 2014den ble brukt til hele 90 prosent av krypteringen på nettet, men den har for det meste blitt forlatt i årene siden.Fra 1. januarvil hver større nettleser vise deg en stor rød advarsel når du besøker et nettsted som er sikret med SHA-1. Det er vanskelig å si hvor mange av disse nettstedene som er igjen, men alle med en halvveis anstendig sertifikatleverandør er allerede trygge.

SHA-1 brukes fortsatt et par steder utenfor nettkryptering - spesielt Git-arkiver - men gitt hvor lenge algoritmen er avviklet, bør den bredere effekten ikke være så utbredt.

Hvorfor gjorde Google dette?

Kortversjonen er at de ønsket å vinne argumentet. Å droppe SHA-1 tok mye tid og krefter over hele bransjen, og ikke alle var ivrige etter å gjøre det. Resultatet har vært en løpende kamp om hvor raskt du skal bytte - med Googles Chrome Security Team som gir en av de høyeste stemmene for en raskere overgang. Chrome tvang nettsteder bort fra SHA-1 allerede i 2014, lenge før andre nettlesere begynte å slå ned. Firefox tok seg ganske raskt også, med Microsofts Edge og IE som brakte bakover.

samsung 4 kameraer
Dette er en kamp om hvor sikkert nettet må være

Chrome's tidlige trekk forårsaket mye sorg blant sertifikatleverandører - men nå som det er en proof-of-concept-kollisjon der ute, ser Chrome Security Team ganske smart ut. Hvis vi hadde lyttet til slowpokes, kunne denne kollisjonen ha vært et stort problem! I stedet beveget bransjen seg raskt, alle er trygge, og vi må skrive blogginnlegg for å forklare hvorfor det i det hele tatt betyr noe.

I bredere forstand er dette en kamp om hvor sikkert nettet må være. Hvis du lager smarttelefoner eller selger apper, synes du kanskje ikke det er verdt det å tvinge hele nettet fra en skjelven algoritme. Hva betyr det om noen få nettsteder er tregt til å bytte? Men Google er fortsatt et nettannonseringsfirma, og det betyr at enhver sammenbrudd i websikkerhet er en eksistensiell trussel. Når en algoritme som SHA-1 går i stykker, er annonsenettverk blant de første som blir målrettet, så Googles store investeringer i å sørge for at krypteringssystemene fungerer. Siden Googles annonser vises på hele nettet, må de sørge for at alle er om bord. Noen ganger betyr det å knekke noen hoder!

Så selv om det kan virke som en matematisk nysgjerrighet, er dette virkelig en seiersrunde for Google - og en som koster ganske mye servertid. Folk har sagt at SHA-1 var skjelven i mange år, og nå vet vi alle at de hadde rett. Heldigvis lyttet vi alle til kryptofolket, og ingenting for alvorlig ble ødelagt. Værsågod.