SHA-1 (kort for Secure Hash Algorithm 1 ) er en af flere kryptografiske hash funktioner.
SHA-1 bruges oftest til at verificere, at en fil er uændret. Dette gøres ved at producere et checksum, før filen er blevet sendt, og så igen når den når sin destination.
Den overførte fil kan kun betragtes som ægte hvis begge checksums er identiske.
Historie og sårbarheder i SHA Hash-funktionen
SHA-1 er kun en af de fire algoritmer i familien Secure Hash Algorithm (SHA). De fleste blev udviklet af US National Security Agency (NSA) og udgivet af National Institute of Standards and Technology (NIST).
SHA-0 har en 160-bit besked fordøjelse (hash værdi) størrelse og var den første version af denne algoritme. SHA-0 hash værdier er 40 cifre lange. Det blev udgivet under navnet SHA i 1993, men blev ikke brugt i mange applikationer, fordi det hurtigt blev erstattet med SHA-1 i 1995 på grund af en sikkerhedsfejl.
SHA-1 er den anden iteration af denne kryptografiske hash funktion. SHA-1 har også en besked fordøjes på 160 bits og forsøgt at øge sikkerheden ved at fastsætte en svaghed, der findes i SHA-0. I 2005 viste SHA-1 imidlertid også usikkerhed.
Når kryptografiske svagheder blev fundet i SHA-1, lavede NIST en erklæring i 2006, der opfordrede føderale agenturer til at vedtage brugen af SHA-2 inden år 2010. SHA-2 er stærkere end SHA-1, og angreb mod SHA-2 er usandsynligt at ske med nuværende computerkraft.
Ikke kun føderale agenturer, men selv virksomheder som Google, Mozilla og Microsoft har alle enten begyndt at planlægge at stoppe at acceptere SHA-1 SSL-certifikater eller allerede har blokeret de slags sider fra indlæsning.
Google har bevis for SHA-1-kollision, der gør denne metode upålitelig til at generere unikke checksums, hvad enten det drejer sig om en adgangskode, en fil eller et andet stykke data. Du kan downloade to unikke PDF-filer fra SHAttered for at se, hvordan dette virker. Brug en SHA-1-kalkulator fra bunden af denne side til at generere checksum for begge, og du vil opdage, at værdien er nøjagtig den samme, selv om de indeholder forskellige data.
SHA-2 og SHA-3
SHA-2 blev offentliggjort i 2001, flere år efter SHA-1. SHA-2 indeholder seks hashfunktioner med varierende fordøjelsesstørrelser: SHA-224 , SHA-256 , SHA-384 , SHA-512 , SHA-512/224 , og SHA-512/256 .
Udviklet af ikke-NSA designere og udgivet af NIST i 2015, er et andet medlem af familien Secure Hash Algorithm, kaldet SHA-3 (tidligere Keccak ).
SHA-3 er ikke beregnet til at erstatte SHA-2 ligesom de tidligere versioner skulle erstatte tidligere. I stedet blev SHA-3 udviklet som et andet alternativ til SHA-0, SHA-1 og MD5.
Hvordan bruges SHA-1?
Et eksempel på virkelig verden, hvor SHA-1 kan bruges, er, når du indtaster dit kodeord på en hjemmesides loginside. Selvom det sker i baggrunden uden din viden, kan det være den metode, et websted bruger til at sikre, at dit kodeord er autentisk.
I dette eksempel kan du forestille dig, at du prøver at logge ind på et websted, du ofte besøger. Hver gang du beder om at logge på, skal du indtaste dit brugernavn og din adgangskode.
Hvis hjemmesiden bruger SHA-1 kryptografiske hash-funktionen, betyder det, at dit kodeord bliver ændret til et checksum, efter at du har indtastet det. Denne checksum sammenlignes derefter med det checksum, der er gemt på hjemmesiden, der vedrører din nuværende adgangskode, uanset om du har Jeg har ikke ændret dit kodeord siden du tilmeldte dig, eller hvis du lige har ændret det for øjeblikke siden. Hvis de to kampe får du adgang hvis de ikke gør det, bliver du fortalt, at adgangskoden er forkert.
Et andet eksempel, hvor SHA-1 hash-funktionen kan bruges, er til filverifikation. Nogle websteder vil give SHA-1 checksummet af filen på download siden, så du kan kontrollere checksummet for dig selv, når du downloader filen for at sikre, at den downloadede fil er den samme som den, du ønskede at downloade.
Du kan undre dig over, hvor en reel brug er i denne type verifikation. Overvej et scenario, hvor du kender SHA-1 checksummet af en fil fra udviklerens hjemmeside, men du vil downloade den samme version fra en anden hjemmeside. Du kan derefter generere SHA-1 checksummet til din download og sammenligne det med det ægte checksum fra udviklerens downloadside.
Hvis de to er forskellige, betyder det ikke kun, at filens indhold ikke er identisk, men at der kunne skjul malware i filen, dataene kunne blive beskadiget og forårsage skade på dine computerfiler, filen er ikke noget relateret til den rigtige fil osv.
Det kan dog også bare betyde, at en fil repræsenterer en ældre version af programmet end den anden, da selv den lille ændring vil generere en unik checksumværdi.
Du kan også kontrollere, at de to filer er ens, hvis du installerer en service pack eller et andet program eller opdatering, da der opstår problemer, hvis nogle af filerne mangler under installationen.
SHA-1 checksumregnemaskiner
En særlig type af regnemaskine kan bruges til at bestemme checksummen for en fil eller gruppe af tegn.
For eksempel er SHA1 Online og SHA1 Hash gratis onlineværktøjer, der kan generere SHA-1-checksummen for enhver gruppe af tekst, symboler og / eller tal.
Disse websteder vil for eksempel generere SHA-1 checksummen af bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba for teksten pAssw0rd! .
