 
neprihlásený 
|
Štvrtok, 23. januára 2025, dnes má meniny Miloš |
|
|
Google chce zbaviť web SHA-1, Chrome bude upozorňovať na certifikáty s ňou
Značky:
bezpečnosťInternet
DSL.sk, 9.9.2014
|
|
Spoločnosť Google chce dosiahnuť ukončenie používania hashovacej funkcie SHA-1 v X.509 certifikátoch používaných na zabezpečovanie komunikácie s HTTPS stránkami a postupne tak začne certifikáty využívajúce SHA-1 označovať vo svojom prehliadači Chrome za nie bezpečné.
Spoločnosť to oznámila na konci uplynulého týždňa.
V certifikátoch sa hashovacia funkcia využíva na vytvorenie krátkeho odtlačku všetkých dôležitých dát obsiahnutých v certifikáte, ktorý sa následne podpisuje privátnym kľúčom podpisujúceho certifikátu.
Problém ale vzniká, ak je možné u hashovacej funkcie efektívne nájsť kolíziu vhodného tvaru, nechať podpísať legitímne vyzerajúci certifikát a následne ho nahradiť falošným s rovnakým odtlačkom ale pre inú doménu. Hoci takýto útok je technicky komplikovaný, v minulosti sa viackrát úspešne zrealizoval proti prelomenej hashovacej funkcii MD5. Tá sa tak už nepovažuje za bezpečnú a v nových certifikátoch sa nepoužíva.
Čiastočne prekonaná už bola ale aj SHA-1, u ktorej sa prvýkrát už minimálne v roku 2005 našiel útok schopný nájsť kolíziu na menej krokov ako pri útoku hrubou silou. Google tak chce zabrániť situácii, kedy bude možné SHA-1 reálne zneužiť na vytvorenie falošného certifikátu.
Prehliadač Google Chrome 39, ktorý bude vydaný ako stabilný na jeseň, tak bude certifikáty používajúce SHA-1 v ich certifikačnej ceste a platné aj po 1. januári 2017 považovať za "bezpečné ale s menšími chybami". Takéto certifikáty vizuálne označuje žltým trojuholníkom na značke certifikátu v políčku pre adresu, zámku.
Pre posudzovanie používania SHA-1 sa bude posudzovať jej používanie vo všetkých certifikátoch certifikačnej cesty okrem root certifikátov, u ktorých ich bezpečnosť vyplýva z ich explicitného zaradenia medzi dôveryhodné certifikáty tvorcami prehliadačov a slabú hashovaciu funkciu nie je možné zneužiť.
Označenie certifikátov ako "potvrdene nie bezpečných" (screenshot: Google)
Chrome 40, ktorý bude vydaný po Vianociach, bude ako "bezpečné ale s menšími chybami" označovať certifikáty s SHA-1, ktoré budú platné ešte po 1. júni 2016. Certifikáty platné aj po 1. januári 2017 už bude označovať ako "neutrálne, s absentujúcou bezpečnosťou", pre ktoré vôbec nezobrazuje značku zámku.
Chrome 41 vydaný v prvom štvrťroku budúceho roka, bude ako "bezpečné ale s menšími chybami" označovať certifikáty platné po 1. januári 2016. Certifikáty s SHA-1 platné po 1. januári 2017 už bude označovať ako "potvrdene nie bezpečných" a bude ich signalizovať červeným preškrtnutím značky zámku aj označenia protokolu https.
Najnovšie články:
![]()
Diskusia:
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Sha3 v certifikatoch
Od: Bobbbb
|
Pridané:
9.9.2014 11:27
Kedy sa zacnu pouzivat SHA-3 certifikaty?
|
| |
Re: Sha3 v certifikatoch
Od: Niktosh
|
Pridané:
9.9.2014 11:31
"V zime!"
|
| |
Re: Sha3 v certifikatoch
Od reg.: Pjetro de
|
Pridané:
9.9.2014 21:07
- este nebola vybrana finalna hesovacia funkcia coby vitaz pre sha-3
- ked sa tak stane, pockaj asi tak 3-5 rokov kym sa to zabuduje do najnovsich verzi softov samozrejme s tym, ze starsie verzie to samozrejme podporovat nebudu
dalsie otazky ?
|
| |
to je snad vtipna ironia ...
Od: Koumak
|
Pridané:
9.9.2014 11:32
Tak prehliadac, ktory dokonale zastupuje velkeho brata a sleduje/reportuje kazdy prd, sa ide tvarit, ze chce podporovat vysoku bezpecnost a silnejsie kryptovanie. ha-ha-ha ...
|
| |
Re: to je snad vtipna ironia ...
Od: zrukynoha2
|
Pridané:
9.9.2014 12:19
a co, ved nech. pouzivat nemusis - problem vyrieseny
|
| |
Re: to je snad vtipna ironia ...
Od: Deer
|
Pridané:
9.9.2014 13:12
No sak presadzuje zosadenie overenej a stale bezpecnej technologie na ukor novej a neoverenej, ktoru tusim sponzoroval.
|
| |
Google si vytvara vlastny SSL protokol
Od: himak
|
Pridané:
9.9.2014 14:04
Google si vytvara vlastny SSL protokol, takze toto moze byt na to reakcia. Chce si casom urobit na bezpecnosti vlastny biznis.
|
| |
Re: Google si vytvara vlastny SSL protokol
Od reg.: Marki555
|
Pridané:
11.9.2014 13:05
Nie nevytvara vlastny SSL ci TLS protokol. Len po skandaloch s chybami v openssl a neexistencii 100% nahrady robia vlastnu implementaciu tychto protokolov.
|
| |
Ja som zasadne proti odstraneniu SHA1
Od: GustoPiestany
|
Pridané:
9.9.2014 14:22
Ja som zas zasadne proti odstranovaniu SHA1, lebo podla mna to este stale je celkom funkcny hash. A dokonca aj MD5 nie je az tak velky problem, ako je napriklad chybajucy nonce. Oni sa tam vadia o hovadinach, ale ked vidim, ze stale existuju plastove routre a napr aj OpenWRT, na niektorych devicoch nie je v stave robit spravne nahodne cislice a potom posiela nonce furt to iste, tak to je ovela vaecsi problem ako nejaka teoria o rozbiti MD5, alebo SHA1 a SHA1 je furt na tom lepsie ako MD5, kere sa este veselo, napr pri VoIP, ale aj inych rieseniach porat veselo pouziva. Len tak namatkovo spomeniem Email, kde este furt je maximum, co na authentifikacii mozes dostat MD5-HMAC, a to nie je ani poradny Digest (ako napr pri VoIP/SIP).
|
| |
Re: Ja som zasadne proti odstraneniu SHA1
Od reg.: Pjetro de
|
Pridané:
9.9.2014 21:10
residuum md5 ostava velmi dlho, aj reziduum sha-1 ostane velmi dlho (sha-2 je v podstate "velmi nova" vec)
chróm sa len chce pokusat urychlit zaciatok odchodu sha-1 do roku 2017
|
| |
Re: Ja som zasadne proti odstraneniu SHA1
Od reg.: Lars Schotte
|
Pridané:
9.9.2014 22:21
saq to hovorim...
|
| |
Ja som zasadne proti odstraneniu SHA1 part 2
Od: GustoPiestany
|
Pridané:
9.9.2014 14:22
Samozrejme, ja by som bol za to, aby bolo vsade pridane moznosti SHA2. Ale zakal neni SHA2 vsade, ze si to mozem aktivovat tak v Email klientovi, ako aj v IMAP/SMTP serveri, a samozrejme aj pri VoIP/SIP authentifikacii, tak sa nemosime o nejakom ruseni, alebo diskriminovani nejakeho urciteho algoritmu ani bavit.
|
| |
Od: Bruce Wayne
|
Pridané:
9.9.2014 14:36
tesim sa na chrome 100
|
| |
guugels
Od: rsgrsggrs
|
Pridané:
9.9.2014 21:20
chrome 42 zrusi SSL certifikaty
|
Pridať komentár
|
|
|
|
