אלגוריתם Hash מאובטח (SHA) כבר אולי הכלי אינסטרומנטלי ביותר במאבק נגד האקרים בתחילת המאה ה -21. היכולת שלו להצפין נתונים ללא כמות עצומה של מאמץ תוך דרישה כמות מופרזת של חומרה כדי לשבור אותו שמר את החשבונות שלנו ואת הנתונים בטוחים במשך רוב כמה עשורים. זו הסיבה שאולי זה מפתיע כי כל מפתחי הדפדפן העיקריים מופיעים פה אחד ברעיון כי SHA-1 צריך להיות נטוש לחלוטין לטובת אחיו הגדול, SHA-2. למה כולם פתאום נחושים לשלב את זה עד 2017, ולמה לא יכול להיות שניהם כאחד?

הטלת הסבר

כדי להבין את SHA, עלינו לבחון את התהליך ואת המטרה מאחורי hashing כ בפועל. חשיש הוא מחרוזת המייצגת נכס מסוים אך אינה תחליף אותו. במונחים פשוטים, שלא כמו רוב האלגוריתמים הצפנה, אתה יכול hash משפט אבל אתה לא יכול "un hash" זה. הדרך היחידה היא שימושית היא אם שרת היעד אינו בהכרח צריך לדעת את התוכן של הנתונים. במקום זאת, זה רק צריך להשוות את Hash של הקלט שלך עם חשיש בתוך מסד הנתונים שלה ולאמת אותך כאשר שניהם תואמים. זו הסיבה hashes הם כל כך שימושי בעת אחסון סיסמאות חשבון; השרת אינו צריך לדעת את הסיסמה שלך בפועל כדי לאמת אותך לתוך האתר.

למה SHA-1 להיות נטוש אז?

אם hashes כל כך קשה לשחזר נתונים בפועל, אז למה זה כל כך ממהר לשלב את זה מתוך הקיום? כל זה קשור לחומרה.

אתה רואה, חשיש יכול להיות "פרוצים" אם מישהו יכול להיתקל קלט שמייצר את חשיש כי בקנה אחד עם הערך שיש בשרת באחסון. אם סיסמת החשבון שלך כוללת את ה- hash b27263b7466a56b1467822108f5487422d054bbb, האקר צריך רק למצוא עוד קטע טקסט (זה לא בהכרח חייב להיות הסיסמה שלך) שיכול ליצור את השילוב המדויק כאשר הוא hashed. זה היה אמור להיות יקר מאוד לרכוש סוג של חומרה שיכולה לעשות את זה בתוך פרק זמן סביר. בשנת 2015, עם זאת, כל זה יכול להיעשות בעזרת אשכול של GPUs. כמו חומרה הופך להיות חזק יותר וזול יותר, זה יהיה כל כך זול לפתור SHA-1, כי אפילו האקרים זמן קצר חובבי יכול לעשות זאת באופן מעשי.

פגוש את SHA-2

כדי לחסל את הבעיות שיש להם נגוע SHA-1, SHA-2 נוצר כמשפחה של אלגוריתמים הצפנה במטרה להפוך את החיים קשה במיוחד עבור האקרים האמידים. מאחר שדפדפנים ומארחים יפסיקו להשתמש באישורי SHA-1, העלות של פריצה לחשבון באמצעות השיטה הנ"ל תהיה אסטרונומית. SHA-2 משתמש מקסימום של 512 סיביות בתפוקתו, נותן לו את המרחב הדרוש לו כדי להבטיח שכל ניסיון לפענח ולשחזר את המחרוזת ייקח כמות בלתי סבירה של זמן. כמובן, אלגוריתם זה יהיה גם שבור בשלב כלשהו בעתיד, ובסופו של דבר יוחלף על ידי עוד אחד שיכול להמשיך את המאבק.

בעתיד הנראה לעין, עם זאת, SHA-2 יישאר אלוף האינטרנט.

כמה שנים נוספות אתה חושב ששא-2 יישאר בזירה? האם מפתחי הדפדפן צודקים בהחלטתם לפסול את קודמו? ספר לנו את המחשבות שלך הערה!