SHA2: Το 2016, δεκάδες εκατομμύρια άνθρωποι σε όλο τον κόσμο θα αντιμετωπίσουν σοβαρά προβλήματα σύνδεσης σε μερικές από τις πιο διαδεδομένες και κρυπτογραφημένες ιστοσελίδες όπως το Facebook, το Google το Gmail, το Twitter και διάφορες τοποθεσίες της Microsoft.
Γιατί; Επειδή το πρόγραμμα περιήγησης ή η συσκευή τους δεν θα είναι σε θέση να διαβάσει τα νέα, πιο ασφαλή πιστοποιητικά.
Ο αλγόριθμος κρυπτογράφησης SHA1, που είναι ήδη στο επίκεντρο της ασφάλειας του Ιστού για μια δεκαετία, θα αποσυρθεί εντελώς, καθώς υπάρχουν αναφορές που ισχυρίζονται ότι θα μπορούσε να έχει “σπάσει” μέχρι το τέλος του έτους, καθιστώντας ουσιαστικά άχρηστη και αποδυναμωμένη της ασφάλεια εκατομμυρίων χρηστών.
[pullquote]“Είμαστε έτοιμοι να αφήσουμε ένα ολόκληρο κομμάτι του διαδικτύου στο παρελθόν”[/pullquote]Οι Αρχές για Πιστοποιητικά από την άλλη, δήλωσαν ότι θα ανταποκριθούν άμεσα σταματώντας να εκδίδουν πιστοποιητικά SHA1 από τα μεσάνυχτα της 1ης Ιανουαρίου του 2016, επιλέγοντας αντί για αυτά τα πιστοποιητικά SHA2.
Ο αλγόριθμος SHA2 είναι πολύ ισχυρότερος και θα διαρκέσει για πολλά χρόνια στο μέλλον. Όμως υπάρχει ένα πρόβλημα.
Μια αρκετά μεγάλη μερίδα χρηστών του Διαδικτύου δεν έχουν προγράμματα περιήγησης ή συσκευές που είναι συμβατές με τον αλγόριθμο SHA2.
“Είμαστε έτοιμοι να αφήσουμε ένα ολόκληρο κομμάτι του διαδικτύου στο παρελθόν”δήλωσε ο διευθύνων σύμβουλος της Cloudflare Matthew Prince, κατά τη διάρκεια μιας συνέντευξης στη Νέα Υόρκη νωρίτερα αυτό το μήνα.
Η κρυπτογράφηση είναι σημαντική όχι μόνο για την προστασία των ηλεκτρονικών τραπεζικών συναλλαγών, λογαριασμών ηλεκτρονικού ταχυδρομείου, και κοινωνικών δικτύων. Η πράσινη μπάρα στο URL ή το λουκέτο στον browser σας επαληθεύει την ακεραιότητα μιας ιστοσελίδας και προσφέρει ένα ισχυρό επίπεδο διασφάλισης ότι η σελίδα δεν έχει τροποποιηθεί με οποιονδήποτε τρόπο.
Έτσι οι περισσότερες ιστοσελίδες σήμερα υιοθετούν την κρυπτογράφηση, επειδή κοστίζει από λίγα έως τίποτα για να την εφαρμόσουν.
Στην εποχή της παραβίασης, της μαζικής διαρροής δεδομένων, και της μαζικής παρακολούθησης, η υιοθέτηση ενός ισχυρού αλγόριθμου όπως του SHA2 είναι μια πολύ σημαντική και απαραίτητη κίνηση. Όμως οι κατασκευαστές περιηγητών και γενικότερα οι ιδιοκτήτες ιστοχώρων νόμιζαν ότι είχαν περισσότερο χρόνο.
Εξέχοντες ερευνητές ασφάλειας ανέφεραν ότι ο SHA1 θα διαρκέσει μέχρι το 2018, όμως οι σημερινές αναφορές τους δηλώνουν ότι ο αλγόριθμος SHA1 μπορεί να σπάσει μέχρι το τέλος του 2015.
Τα καλά νέα είναι ότι οι περισσότερες ιστοσελίδες χρησιμοποιούν ήδη ισχυρά πιστοποιητικά SHA2. Όμως περίπου το 24% από τις ιστοσελίδες που χρησιμοποιούν κρυπτογράφηση SSL εξακολουθούν να χρησιμοποιούν τον αλγόριθμο SHA1. Αυτό σημαίνει περίπου 1 εκατομμύριο ιστοσελίδες.
Ο αριθμός αυτός μειώνεται κάθε μήνα, και έτσι μέχρι το τέλος του έτους το ποσοστό θα μπορούσε να έχει φτάσει στο 10 τοις εκατό του συνόλου των δικτυακών τόπων, που σημαίνει ότι η συντριπτική πλειοψηφία των κρυπτογραφημένων δικτυακών τόπων θα είναι ασφαλείς από επιθέσεις παραβίασης του SHA1.
Για τους περισσότερους ανθρώπους, δεν θα υπάρχει πρόβλημα. Η πλειοψηφία χρησιμοποιούν ήδη την τελευταία έκδοση του Chrome ή του Firefox στο τελευταίο λειτουργικό σύστημα, ή το νεότερο smartphone με το πιο πρόσφατο λογισμικό, τα οποία είναι συμβατά και με τον παλιό αλγόριθμο SHA1 αλλά και με τον νεότερο SHA2.
Τι γίνεται όμως με αυτούς που χρησιμοποιούν παλαιότερες συσκευές;
Δεν υπάρχουν ακόμα συγκεκριμένα στοιχεία για το πόσοι άνθρωποι τρέχουν παλιά ή μη υποστηριζόμενα προγράμματα περιήγησης ή συσκευές.
Ο Ivan Ristic, επικεφαλής του SSL Labs στο Qualys, ανέφερε στο ZDNet ότι οι χρήστες των Windows XP SP2 , και οι χρήστες με κινητά Android 2.2 και νωρίτερα, δεν θα υποστηρίζονται από τα πιστοποιητικά SHA2.
“Λόγω της αλλαγής σε SHA2, είναι πιθανό ότι οι χρήστες με παλαιότερα προγράμματα περιήγησης, θα αρχίσουν να αντιμετωπίζουν προβλήματα με αυξημένη συχνότητα όλο το 2016”,
δήλωσε ο Ristic.
Το ίδρυμα Mozilla το ανακάλυψε αυτό με ένα σκληρό τρόπο το περασμένο έτος.
Πέρυσι, ο κατασκευαστής του προγράμματος περιήγησης ανανέωσε την κρυπτογράφηση της σελίδας του με ένα νέο πιστοποιητικό SSL που χρησιμοποιεί αλγόριθμο SHA2. Έτσι εκείνοι που έτρεχαν ένα πρόγραμμα περιήγησης ή ένα λειτουργικό σύστημα που δεν υποστηρίζει την SHA2 δεν θα μπορούσαν να έχουν πρόσβαση στη νέα ιστοσελίδα και φυσικά δεν μπορούσαν να κατεβάσουν τον browser.
Η αναβάθμιση “σκότωσε ένα εκατομμύριο downloads,” δήλωσε ο Chris More του Mozilla.
Έτσι από τις αρχές του 2016 που σταματάει η έκδοση νέω πιστοποιητικών με τον αλγόριθμο SHA1, οι ιδιοκτήτες ιστοσελίδων και οι προγραμματιστές εφαρμογών θα έχουν έναν ολόκληρο χρόνο για να αναβαθμίσουν σε SHA2.
