NIST: Hoogste tijd om SHA-1 hashing algoritme te dumpen
Het Amerikaanse Institute of Standards and Technology (NIST) heeft overheden en agentschappen aangeraden om het SHA-1 hashing algoritme niet meer te gebruiken en over te stappen op een sterker algoritme. Begin vorig jaar werd SHA-1 gekraakt en raadde NIST al aan om het lang gebruikte algoritme uit te faseren, en voor 2010 de overstap naar SHA-224, SHA-256, SHA-384 of SHA-512 gepland te hebben.
Afgelopen woensdag heeft het NIST nogmaals gewaarschuwd dat "federale agentschappen zo snel als mogelijk moeten stoppen met het gebruik van SHA-1 voor digitale handtekeningen, digital time stamping en andere applicaties waar "collision resistance" nodig is". Applicatie en protocol ontwerpers wordt dan ook aangeraden om voortaan SHA-2 te gebruiken.
De Amerikaanse overheid heeft een aantal Secure Hashing Algoritmes goedgekeurd voor het ondertekenen van digitale documenten. Wordt een document aangepast, dan verandert de hash, waardoor het ook als time stamp gebruikt kan worden. De kracht van een hashing algoritme ligt in het vermogen om aanvallen van krachtige computers te weerstaan. Voor SHA-1, dat al sinds 1994 bestaat, is die tijd voorbij.
in plaats van het gebruikelijke "het is onveilig"-geschreeuw.
omtrent de kwetsbaarheid van symetrische cryptographie tot
160 bits waaronder SHA-1 dus ook hoort.
Aanbevelingen om minimaal 256 bit te gebruiken circuleren al
wel een tijdje, mede gelet op de snelle ontwikkeling van de
rekenkracht van processoren.
De verwachting is overigens dat eerst overheden zullen
uitfaseren, commerciele organisaties zullen het wat rustiger
aan doen. Het is immers nog steeds zo dat je niet met een
high end stand alone PC 'eventjes' het SHA-1 algoritme
blootlegt.
Goed artikel, het uitfaseren past in de verwachtingen omtrent de kwetsbaarheid van symetrische cryptographie tot 160 bits waaronder SHA-1 dus ook hoort.
Overigens is SHA-1 een hashing algoritme en heeft het niets met symmetric key encryption te maken. Symmetrische en asymmetrische sleutels worden gebruikt bij encryptie en niet bij hashing..
Goed artikel, het uitfaseren past in de verwachtingen
omtrent de kwetsbaarheid van symetrische cryptographie tot
160 bits waaronder SHA-1 dus ook hoort.
de gebruikte cryptografie.. Volgens jou is 168bit 3TDES
sterker dan 128bit AES (rijndael)?
Overigens is SHA-1 een hashing algoritme en heeft het
niets met symmetric key encryption te maken.
Symmetrische en asymmetrische sleutels worden gebruikt bij
encryptie en niet bij hashing..
deel I hoor je mij niet zeggen.
deel II heb je gelijk in, ik was even op het verkeerde been
gezet door het artikel in de link. SHA-1 is inderdaad geen
vorm van symetrische cryptografie. Het wordt net als
(bijvoorbeeld) MD-5 gebruikt voor hashing en dient voor data
integriteit.
deel I hoor je mij niet zeggen.
{...} het uitfaseren past in de verwachtingen omtrent de kwetsbaarheid van symetrische cryptographie tot 160 bits {..}
..........stand alone PC 'eventjes' het SHA-1 algoritme
blootlegt.
nodig :-)
Het algoritme is bekend, anders zou je de hash niet kunnen
controleren, en dan heeft het weinig zin.
Hashen wordt ook vaak als one-way-encryptie gezien,
trouwens.
Het gaat ook vaak samen: eerst hashen daarna de hash
encrypten met 'echte encryptie'. Anders zou je data kunnen
veranderen en er zelf een nieuwe hash onder zetten.
Hashen/zippen voor encryptie is ook een goede gewoonte om
ervoor te zorgen dat de 'cleartext' zo gevarieerd mogelijk
is. Dan wordt het moeilijker om te breken.
SF
..........stand alone PC 'eventjes' het SHA-1 algoritme
blootlegt.
nodig :-)
Het algoritme is bekend, anders zou je de hash niet kunnen
controleren, en dan heeft het weinig zin.
Hashen wordt ook vaak als one-way-encryptie gezien,
trouwens.
Het gaat ook vaak samen: eerst hashen daarna de hash
encrypten met 'echte encryptie'. Anders zou je data kunnen
veranderen en er zelf een nieuwe hash onder zetten.
Hashen/zippen voor encryptie is ook een goede gewoonte om
ervoor te zorgen dat de 'cleartext' zo gevarieerd mogelijk
is. Dan wordt het moeilijker om te breken.
SF
Erg letterlijk maar goed, ook jij hebt gelijk. Alle
algoritme's zijn bekend want enkel worden ze aanvaard indien
de kracht van het algoritme voor versleuteling is aangetoond
door crypto analysts. Hiermee wordt vorkomen dat er security
by obscurity ontstaat.
256 bits binnen weken tot maanden te kraken als men de
computerkracht bezit van een land zoals de verenigde staten.
Ook certificates op RSA/DSA gebaseerd beneden de 2048 zijn
binnen weken te kraken.
SHA-1 is al ruim een jaar terug gekraakt worden, waarom
wordt er dan pas NU melding van gemaakt ,dat met beter over
kan stappen naar een ander SHA algoritme ??
beetje dom,eigenlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.