SHA-1 (saīsinājums no Secure Hash Algorithm 1) ir viena no vairākām kriptogrāfiskajām jaukšanas funkcijām.
To visbiežāk izmanto, lai pārbaudītu, vai fails nav mainīts. Tas tiek darīts, izveidojot kontrolsummu pirms faila pārsūtīšanas un pēc tam vēlreiz, kad tas sasniedz galamērķi.
Nosūtīto failu var uzskatīt par īstu tikai tad, ja abas kontrolsummas ir identiskas.
SHA jaucējfunkcijas vēsture un ievainojamības
SHA-1 ir tikai viens no četriem Secure Hash Algorithm (SHA) saimes algoritmiem. Lielāko daļu no tiem izstrādāja ASV Nacionālā drošības aģentūra (NSA) un publicēja Nacionālais standartu un tehnoloģiju institūts (NIST).
SHA-0 ir 160 bitu ziņojumu īssavilkuma (jaucējvērtības) lielums, un tā bija šī algoritma pirmā versija. Tās jaucējvērtības ir 40 ciparus garas. Tas tika publicēts ar nosaukumu "SHA" 1993. gadā, bet netika izmantots daudzās lietojumprogrammās, jo 1995. gadā tas tika ātri aizstāts ar SHA-1 drošības nepilnības dēļ.
SHA-1 ir šīs kriptogrāfiskās jaucējfunkcijas otrā iterācija. Šim ziņojumam ir arī 160 bitu ziņojumu īssavilkums, un tas centās palielināt drošību, novēršot SHA-0 konstatēto trūkumu. Tomēr 2005. gadā arī SHA-1 tika konstatēts kā nedrošs.
Kad SHA-1 tika atklātas kriptogrāfijas nepilnības, NIST 2006. gadā sniedza paziņojumu, mudinot federālās aģentūras pieņemt SHA-2 izmantošanu līdz 2010. gadam. SHA-2 ir spēcīgāks par SHA-1, un veikti uzbrukumi. pret SHA-2, visticamāk, nenotiks ar pašreizējo skaitļošanas jaudu.
Ne tikai federālās aģentūras, bet pat tādi uzņēmumi kā Google, Mozilla un Microsoft ir sākuši plānus pārtraukt SHA-1 SSL sertifikātu pieņemšanu vai jau ir bloķējuši šāda veida lapu ielādi.
Google ir pierādījusi SHA-1 sadursmi, kas padara šo metodi neuzticamu unikālu kontrolsummu ģenerēšanai neatkarīgi no tā, vai runa ir par paroli, failu vai jebkuru citu datu daļu. Varat lejupielādēt divus unikālus PDF failus no SHAttered, lai redzētu, kā tas darbojas. Izmantojiet SHA-1 kalkulatoru šīs lapas apakšdaļā, lai ģenerētu abu kontrolsummu, un jūs atklāsiet, ka vērtība ir tieši tāda pati, lai gan tajos ir dažādi dati.
SHA-2 un SHA-3
SHA-2 tika publicēts 2001. gadā, vairākus gadus pēc SHA-1. Tajā ir iekļautas sešas jaukšanas funkcijas ar dažādiem īssavilkuma izmēriem: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 un SHA-512/256.
Izstrādāja dizaineri, kas nav NSA, un NIST izlaida 2015. gadā. Tas ir vēl viens Secure Hash Algorithm saimes loceklis ar nosaukumu SHA-3 (agrāk Keccak).
SHA-3 nav paredzēts, lai aizstātu SHA-2, tāpat kā iepriekšējās versijas bija domātas, lai aizstātu iepriekšējās versijas. Tā vietā tā tika izstrādāta kā vēl viena alternatīva SHA-0, SHA-1 un MD5.
Kā tiek izmantots SHA-1?
Viens reāls piemērs, kur var izmantot SHA-1, ir paroles ievadīšana vietnes pieteikšanās lapā. Lai gan tas notiek fonā, jums nezinot, tā var būt metode, ko vietne izmanto, lai droši pārbaudītu, vai jūsu parole ir autentiska.
Šajā piemērā iedomājieties, ka mēģināt pieteikties vietnē, kuru bieži apmeklējat. Katru reizi, kad pieprasāt pieteikties, jums ir jāievada savs lietotājvārds un parole.
Ja vietne izmanto SHA-1 kriptogrāfijas jaukšanas funkciju, tas nozīmē, ka pēc tās ievadīšanas jūsu parole tiek pārvērsta par kontrolsummu. Pēc tam šī kontrolsumma tiek salīdzināta ar kontrolsummu, kas tiek saglabāta vietnē un attiecas uz jūsu pašreizējo paroli. paroli, neatkarīgi no tā, vai neesat mainījis paroli kopš reģistrēšanās vai tikko mainījāt to pirms brīža. Ja abi sakrīt, jums tiek piešķirta piekļuve; ja viņi to nedara, jums tiek paziņots, ka parole nav pareiza.
Cits piemērs, kur var izmantot šo jaucējfunkciju, ir faila pārbaude. Dažas vietnes lejupielādes lapā nodrošinās faila SHA-1 kontrolsummu, lai, lejupielādējot failu, jūs pats varētu pārbaudīt kontrolsummu, lai pārliecinātos, ka lejupielādētais fails ir tāds pats kā tas, kuru plānojāt lejupielādēt.
Jums varētu rasties jautājums, kur šāda veida verifikācijai ir patiess pielietojums. Apsveriet situāciju, kad zināt izstrādātāja vietnes faila SHA-1 kontrolsummu, bet vēlaties lejupielādēt to pašu versiju no citas vietnes. Pēc tam varat ģenerēt SHA-1 kontrolsummu savai lejupielādei un salīdzināt to ar īsto kontrolsummu no izstrādātāja lejupielādes lapas.
Ja abi atšķiras, tas ne tikai nozīmē, ka faila saturs nav identisks, bet failā var būt paslēpta ļaunprātīga programmatūra, dati var tikt bojāti un sabojāt jūsu datora failus, fails nav jebkas, kas saistīts ar reālo failu utt.
Tomēr tas var nozīmēt arī to, ka viens fails ir vecāka programmas versija nekā otrs, jo pat šīs nelielas izmaiņas radīs unikālu kontrolsummas vērtību.
Varat arī pārbaudīt, vai abi faili ir identiski, ja instalējat servisa pakotni vai kādu citu programmu vai atjauninājumu, jo problēmas rodas, ja instalēšanas laikā trūkst dažu failu.
SHA-1 kontrolsummu kalkulatori
Lai noteiktu faila vai rakstzīmju grupas kontrolsummu, var izmantot īpašu kalkulatoru.
Piemēram, SHA1 Online un SHA1 Hash Generator ir bezmaksas tiešsaistes rīki, kas var ģenerēt SHA-1 kontrolsummu jebkurai teksta, simbolu un/vai skaitļu grupai.
Šīs vietnes, piemēram, ģenerēs šo pāri:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
