Η Microsoft αφαιρεί όλες τις λήψεις των Windows από το Microsoft Download Center που έχουν υπογραφεί χρησιμοποιώντας πιστοποιητικά SHA-1 στις 3 Αυγούστου 2020.
Ο αλγόριθμος SHA-1 χρησιμοποιήθηκε συνήθως για την υπογραφή κώδικα εκτελέσιμων αρχείων και τα πιστοποιητικά TLS και SSL, χρησιμοποιούνται σε ιστότοπους για τον έλεγχο ταυτότητας ενός εκδότη.
Το 2015, ερευνητές ασφαλείας δημοσίευσαν μια έκθεση που περιγράφει λεπτομερώς τον τρόπο με τον οποίο το SHA-1 είναι ευάλωτο σε επιθέσεις που θα μπορούσαν να επιτρέψουν στους εισβολείς να δημιουργήσουν πλαστογραφίες των ψηφιακών πιστοποιητικών για την πλαστοπροσωπία μιας εταιρείας ή άλλου ιστότοπου.
Αυτές οι πλαστογραφίες θα μπορούσαν να χρησιμοποιηθούν στη συνέχεια σε επιθέσεις ηλεκτρονικού “ψαρέματος”, σε πλαστογραφίες εταιρειών ή σε επιθέσεις man-in-the-middle.
Λόγω των προβλημάτων με τα πιστοποιητικά SHA-1, η Microsoft και άλλοι προγραμματιστές αρχίζουν να μην τα χρησιμοποιούν και απαιτούν τη χρήση του SHA-2 για την εγκατάσταση ενημερώσεων των Windows.
Σε ένα νέο ενημερωτικό δελτίο που δημοσιεύτηκε χθες, η Microsoft αναφέρει ότι αποσύρει όλο το περιεχόμενο των Windows που έχει υπογραφεί με τον αλγόριθμο Secure Hash 1 (SHA-1) από το Microsoft Download Center για περισσότερη ασφάλεια.
“Το SHA-1 είναι ένα παλιό cryptographic hash που πολλοί από την κοινότητα ασφαλείας πιστεύουν ότι δεν είναι πλέον ασφαλές. Η χρήση του αλγορίθμου SHA-1 σε ψηφιακά πιστοποιητικά θα μπορούσε να επιτρέψει σε έναν εισβολέα να πλαστογραφήσει περιεχόμενο, να πραγματοποιήσει επιθέσεις ηλεκτρονικού ψαρέματος ή man-in-the-middle επιθέσεις”
Να αναφέρουμε ότι αν και η Microsoft υποστηρίζει μόνο το υπογεγραμμένο περιεχόμενο με SHA-2 στο επίσημο περιεχόμενο, τα εκτελέσιμα των Windows που έχουν υπογραφεί με το SHA-1 θα μπορούν να τρέχουν στο λειτουργικό σύστημα.
Έτσι αν έχετε παλαιότερα υπογεγραμμένα αρχεία με SHA-1 και εξακολουθείτε να τα χρησιμοποιείτε, θα πρέπει να τα κατεβάσετε πριν τα αφαιρέσει η Microsoft στις 3 Αυγούστου.
