Čo vedieť
- Secure Hash Algorithm 1 (SHA-1) je druh algoritmu, ktorý sa používa na overenie pravosti údajov.
- Autentifikácia heslom a overenie súborov sú príklady jeho použitia.
- Špeciálna kalkulačka dokáže nájsť kontrolný súčet SHA-1 textu alebo súboru.
Tento článok skúma, čo znamená SHA-1 a ako a prečo sa používa, a ako generovať kontrolné súčty SHA-1.
ako posielať pozvánky na svár
Čo je SHA-1?
SHA-1 (skratka pre Secure Hash Algorithm 1) je jednou z niekoľkých kryptografických hašovacích funkcií.
Najčastejšie sa používa na overenie, či bol súbor nezmenený. To sa vykonáva výrobou a kontrolný súčet pred odoslaním súboru a potom znova, keď sa dostane do cieľa.
Prenesený súbor možno považovať za pravý iba vtedy, ak sú oba kontrolné súčty rovnaké.
David Silverman / Getty Images Novinky / Getty Images
História a slabé miesta hashovacej funkcie SHA
SHA-1 je len jedným zo štyroch algoritmov v rodine Secure Hash Algorithm (SHA). Väčšinu z nich vyvinula americká Národná bezpečnostná agentúra (NSA) a zverejnil ich Národný inštitút pre štandardy a technológie (NIST).
SHA-0 má veľkosť 160-bitového súhrnu správ (hodnota hash) a bola prvou verziou tohto algoritmu. Jeho hašovacie hodnoty sú dlhé 40 číslic. Bol publikovaný pod názvom „SHA“ v roku 1993, ale v mnohých aplikáciách sa nepoužíval, pretože bol v roku 1995 rýchlo nahradený SHA-1 kvôli bezpečnostnej chybe.
SHA-1 je druhá iterácia tejto kryptografickej hašovacej funkcie. Tento má tiež súhrn správ 160 bitov a snažil sa zvýšiť bezpečnosť opravou slabiny nájdenej v SHA-0. V roku 2005 sa však zistilo, že aj SHA-1 nie je bezpečný.
Po zistení kryptografických slabín v SHA-1 NIST v roku 2006 vydal vyhlásenie, v ktorom povzbudil federálne agentúry, aby prijali používanie SHA-2 do roku 2010, a NIST ho oficiálne zavrhol v roku 2011. SHA-2 je silnejší ako SHA- 1 a útoky proti SHA-2 sa pri súčasnom výpočtovom výkone pravdepodobne nestanú.
Nielen federálne agentúry, ale dokonca aj spoločnosti ako Google, Mozilla a Microsoft začali plánovať prestať akceptovať certifikáty SHA-1 SSL alebo už zablokovali načítanie takýchto stránok.
Google má dôkaz o kolízii SHA-1 to robí túto metódu nespoľahlivou na generovanie jedinečných kontrolných súčtov, či už ide o heslo, súbor alebo akékoľvek iné údaje. Môžete si stiahnuť dva jedinečné PDF súbory z SHattered aby ste videli, ako to funguje. Pomocou kalkulačky SHA-1 v spodnej časti tejto stránky vygenerujte kontrolný súčet pre obe a zistíte, že hodnota je úplne rovnaká, aj keď obsahujú rôzne údaje.
SHA-2 a SHA-3
SHA-2 bol publikovaný v roku 2001, niekoľko rokov po SHA-1. Obsahuje šesť hašovacích funkcií s rôznymi veľkosťami súhrnu: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 a SHA-512/256.
Vyvinuté dizajnérmi mimo NSA a vydal NIST v roku 2015 , je ďalším členom rodiny Secure Hash Algorithm s názvom SHA-3 (predtým Keccak).
SHA-3 nemá nahradiť SHA-2, pretože predchádzajúce verzie mali nahradiť predchádzajúce verzie. Namiesto toho bol vyvinutý len ako ďalšia alternatíva k SHA-0, SHA-1 a MD5.
Ako sa používa SHA-1?
Jedným z reálnych príkladov, kde možno použiť SHA-1, je zadávanie hesla na prihlasovacej stránke webovej lokality. Hoci sa to deje na pozadí bez vášho vedomia, môže to byť metóda, ktorú web používa na bezpečné overenie pravosti vášho hesla.
môžete vrátiť nadané hry v pare
V tomto príklade si predstavte, že sa pokúšate prihlásiť na webovú stránku, ktorú často navštevujete. Zakaždým, keď požadujete prihlásenie, musíte zadať svoje používateľské meno a heslo.
Ak webová lokalita používa kryptografickú hašovaciu funkciu SHA-1, znamená to, že vaše heslo sa po zadaní zmení na kontrolný súčet. Tento kontrolný súčet sa potom porovná s kontrolným súčtom, ktorý je uložený na webovej lokalite a ktorý súvisí s vaším aktuálnym heslom, či už Nezmenili ste si heslo, odkedy ste sa zaregistrovali, alebo ak ste ho len pred chvíľou zmenili. Ak sa tieto dva zhodujú, máte prístup; ak nie, bude vám povedané, že heslo je nesprávne.
Ďalším príkladom, kde možno túto hašovaciu funkciu použiť, je overenie súboru. Niektoré webové stránky poskytnú kontrolný súčet súboru na stránke sťahovania, takže keď si ho stiahnete, môžete skontrolovať kontrolný súčet, aby ste sa uistili, že stiahnutý súbor je rovnaký ako ten, ktorý ste chceli stiahnuť.
Možno sa čudujete, kde je skutočné využitie tohto typu overovania. Predstavte si scenár, v ktorom poznáte kontrolný súčet SHA-1 súboru z webovej lokality vývojára, ale chcete si stiahnuť rovnakú verziu z inej webovej lokality. Potom môžete vygenerovať kontrolný súčet SHA-1 na stiahnutie a porovnať ho so skutočným kontrolným súčtom zo stránky na stiahnutie vývojára.
Ak sú tieto dva odlišné, znamená to nielen, že obsah súboru nie je identický, ale existujemoholbyť v súbore skrytý malvér, údaje môžu byť poškodené a spôsobiť poškodenie súborov v počítači, súbor nesúvisí so skutočným súborom atď.
Môže to však znamenať aj to, že jeden súbor predstavuje staršiu verziu programu ako druhý, pretože aj tá malá zmena vygeneruje jedinečnú hodnotu kontrolného súčtu.
Možno budete chcieť skontrolovať, či sú tieto dva súbory identické, ak inštalujete servisný balík alebo iný program alebo aktualizáciu, pretože problémy nastanú, ak niektoré súbory počas inštalácie chýbajú.
Kalkulačky kontrolného súčtu SHA-1
Na určenie kontrolného súčtu súboru alebo skupiny znakov možno použiť špeciálny druh kalkulačky.
Napríklad, SHA1 Online je bezplatný online nástroj, ktorý dokáže vygenerovať kontrolný súčet SHA-1 ľubovoľnej skupiny textu, symbolov a/alebo čísel. Napríklad vygeneruje tento pár:
|_+_|Ten istý web má Kontrolný súčet súboru SHA1 nástroj, ak máte namiesto textu súbor.
