SHA-1 (lyhenne sanoista Secure Hash Algorithm 1) on yksi monista kryptografisista hajautusfunktioista. Sitä käytetään yleensä tarkistamaan, onko tiedosto pysynyt muuttumattomana. Tämä tehdään tuottamalla tarkistussumma ennen tiedoston lähettämistä ja sitten uudelleen, kun se saavuttaa määränpäänsä. Lähetettyä tiedostoa voidaan pitää aidona vain, jos molemmat tarkistussummat ovat identtisiä.
SHA-hajautustoiminnon historia ja haavoittuvuudet
SHA-1 on vain yksi neljästä Secure Hash Algorithm (SHA) -perheen algoritmista. Suurimman osan niistä on kehittänyt Yhdysvaltain kansallinen turvallisuusvirasto (NSA) ja julkaissut National Institute of Standards and Technology (NIST). SHA-0:ssa on 160-bittinen viestikartta (hash-arvo), ja se oli tämän algoritmin ensimmäinen versio. Hajautusarvot ovat 40 numeroa pitkiä. Se julkaistiin vuonna 1993 nimellä «SHA», mutta sitä ei käytetty monissa sovelluksissa, koska se korvattiin nopeasti SHA-1:llä vuonna 1995 tietoturvavirheen vuoksi. SHA-1 on tämän kryptografisen hajautusfunktion toinen iteraatio. Siinä on myös 160-bittinen viestikooste, ja se on yrittänyt lisätä turvallisuutta korjaamalla SHA-0:n heikkouden. Vuonna 2005 SHA-1 todettiin kuitenkin myös vaaralliseksi. Kun SHA-1:ssä löydettiin kryptografisia heikkouksia, NIST antoi vuonna 2006 lausunnon, jossa se rohkaisi liittovaltion virastoja ottamaan käyttöön SHA-2:n vuoteen 2010 mennessä. SHA-2 on vahvempi kuin SHA-1, ja hyökkäykset SHA-2:ta vastaan eivät todennäköisesti tapahdu nykyisellä laskentateholla. Ei vain liittovaltion virastot, vaan jopa yritykset, kuten Google, Mozilla ja Microsoft, ovat kaikki alkaneet lopettaa SHA-1 SSL -sertifikaattien hyväksymisen tai ovat jo estäneet tämäntyyppisten sivujen latautumisen. Googlella on todisteita SHA-1-törmäyksestä, mikä tekee tästä menetelmästä epäluotettavan yksilöllisten tarkistussummien luomisessa, olipa kyse sitten salasanasta, tiedostosta tai muista tiedoista. Voit ladata kaksi ainutlaatuista PDF-tiedostoa SHAtteredistä nähdäksesi, miten tämä toimii. Luo tämän sivun alareunassa olevalla SHA-1-laskimella molemmille tarkistussumma, niin näet, että arvo on täsmälleen sama, vaikka ne sisältävät eri tietoja.
SHA-2 ja SHA-3
SHA-2 julkaistiin vuonna 2001, useita vuosia SHA-1:n jälkeen. Se sisältää kuusi hash-funktiota eri tiivistelmäkooilla: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 ja SHA-512/256. Muiden kuin NSA-suunnittelijoiden kehittämä ja NIST julkaisi vuonna 2015, se on toinen SHA-3-nimisen (entinen Keccak) Secure Hash Algorithm -perheen jäsen. SHA-3 ei ole tarkoitettu korvaamaan SHA-2:ta, koska aiempien versioiden oli tarkoitus korvata aikaisemmat versiot. Sen sijaan se kehitettiin toiseksi vaihtoehdoksi SHA-0:lle, SHA-1:lle ja MD5:lle.
Miten SHA-1:tä käytetään?
Tosimaailman esimerkki, jossa SHA-1:tä voidaan käyttää, on, kun annat salasanasi verkkosivuston kirjautumissivulla. Vaikka se tapahtuu taustalla tietämättäsi, se voi olla tapa, jolla verkkosivusto varmistaa turvallisesti, että salasanasi on aito. Kuvittele tässä esimerkissä, että yrität kirjautua sisään verkkosivustolle, jolla vierailet usein. Aina kun pyydät kirjautumista, sinun on syötettävä käyttäjätunnuksesi ja salasanasi. Jos sivusto käyttää SHA-1 kryptografista hajautustoimintoa, se tarkoittaa, että salasanasi muunnetaan tarkistussummaksi sen syöttämisen jälkeen. Tätä tarkistussummaa verrataan sitten verkkosivustolle tallennettuun tarkistussummaan, joka liittyy nykyiseen salasanaasi riippumatta siitä, etkö ole vaihtanut salasanaasi rekisteröitymisen jälkeen vai oletko juuri vaihtanut sen. Jos nämä kaksi täsmäävät, saat käyttöoikeuden; Jos he eivät tee, sinulle kerrotaan, että salasana on väärä. Toinen esimerkki, jossa tätä hash-toimintoa voidaan käyttää, on tiedostojen tarkistaminen. Jotkut sivustot tarjoavat SHA-1-tarkistussumman tiedoston lataussivulle, joten kun lataat itse tiedoston, voit tarkistaa tarkistussumman varmistaaksesi, että ladattu tiedosto on sama kuin se, jonka halusit ladata. Saatat ihmetellä, missä tällaisesta vahvistuksesta on todella hyötyä. Harkitse tilannetta, jossa tiedät kehittäjän verkkosivuston tiedoston SHA-1-tarkistussumman, mutta haluat ladata saman version toiselta verkkosivustolta. Voit sitten luoda SHA-1-tarkistussumman latauksellesi ja verrata sitä todelliseen tarkistussummaan kehittäjän lataussivulta. Jos nämä kaksi ovat erilaisia, se ei tarkoita vain sitä, että tiedoston sisältö ei ole identtinen, vaan voisi haittaohjelma on piilotettu tiedostoon, tiedot voivat vioittua ja vahingoittaa tietokoneen tiedostoja, tiedostolla ei ole mitään tekemistä todellisen tiedoston kanssa jne. Se voi kuitenkin tarkoittaa myös sitä, että yksi tiedosto on ohjelman vanhempi versio kuin toinen , koska jopa tuo pieni muutos luo ainutlaatuisen tarkistussumman arvon. Voit myös varmistaa, että nämä kaksi tiedostoa ovat identtisiä, jos asennat Service Pack -paketin tai muun ohjelman tai päivityksen, koska ongelmia ilmenee, jos joitain tiedostoja puuttuu asennuksen aikana.
SHA-1 tarkistussummalaskimet
Erityisellä laskimella voidaan määrittää tiedoston tai merkkiryhmän tarkistussumma. Esimerkiksi SHA1 Online ja SHA1 Hash Generator ovat ilmaisia online-työkaluja, jotka voivat luoda SHA-1-tarkistussumman mistä tahansa teksti-, symboli- ja/tai numeroryhmästä. Esimerkiksi nämä sivustot luovat tämän parin:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba