Browse > Home /

| Subcribe RSS

Dijital Sertifikasyonlarda tehlike çanları: SHA-1 Hash Algoritmasında açıklık bulundu!

June 16th, 2009 | No Comments | Posted in Güvenlik

Matematik, ne yazıktır ki zamanla teknolojiye yenik düşüyor. Teknoloji geliştikçe saniyede yapılabilecek işlemler donanım cihazlarına bağlı olarak artıyor ve brute force tarzındaki ataklar gün geçtikte daha fazla etkili olmaya başlıyorlar:  [1] , [2]

Bunlardan bir tanesi de SHA-1 özet algoritması için yaşandı. Avustralya’lı uzmanlar 2 üzeri 52. denemelerinde ilgili algoritmayı kırmayı başardılar. Bu hash algoritmasının orta vadede kullanılması, dijital sertifikasyonlarınızı riske atabilir. 2008’in sonlarına doğru kırılma sinyalleri başlayan Dijital sertifikasyon altyapısı, özellikle 200 PlayStation 3 kullanılarak MD5 hash’inin kırılmasına tanık olmuştu. Bu saldırıdan sonra birçok büyük firma, özellikle SSL sertifikalarını daha güvenli algoritmalar olan SHA-1 ve üzerine çıkarmaya karar vermişti. Ancak önceki yazımda da belirttiğim gibi, bir sonraki adıma geçmek orta ve kısa vadede geçici bir çözümdür. Bu görüşüm, SHA-1’in zaafiyet verdiği ile ciddi anlamda özdeşiyor (İlgili yazıdaki 4. paragraf) Mantık basit: uygulamadan önce dizayn edin, tasarlayın!

SHA-2 olarak bilinen SHA-224, SHA-256, SHA-384 ve SHA-512 hash algoritmaları da aynı prensibe dayanıyor. Sadece uzunlukları daha fazla olduğu için, kırılmaları daha zorlu ancak bu saaatten sonra imkansız olmayacaktır. Bu konuyla ilgili Ocak 2010 yılında devreye girecek olan Avrupa Kanunlarına göre, SHA-2 kullanmak zorunlu kılınacak. Bu bilgiyi daha bu haber çıkmadan öğrenmiştim. Uzun vadede düşünen zihniyete “+1” diyorum.

Aslında bakmayın, SHA-1 2006’dan beri çoktan sinyal vermeye başlamıştı ancak günümüz teknolojisi ile bu algoritmayı kırmak, çok daha kolay bir hale geldi. Bu konu hakkında daha güvenli ve yeni algoritmalarla ilgili bir yazıyı önümüzdeki günlerde yayınlamak istiyorum.

Peki bundan sonra ne olacak?

Bu konunun uzmanı olan NIST (US National Institute of Standards and Technology) kurumu, yeni bir hash algoritması geliştirmek için bir yarışma başlatmıştı. 2008’in Ekim ayında sonlanan yarışmaya, 50 geliştirici takımı katılırken, kazanan algoritma SHA-3 adlandırılacak ve 2012 senesinde güvenlik alanında bir standart olacak.

Tags: , , , ,
  • Site istatistik

    Bugünkü ziyaret: 16
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News