ประกาศเลิกใช้งาน SHA-1 แนะผู้ใช้งานเตรียมเปลี่ยนไปใช้ SHA-2

จากการที่ทีมนักวิจัยจาก 3 ชาติได้ออกมาเผยแพร่งานวิจัยล่าสุดที่ระบุว่า ค้นพบช่องโหว่บนฟังก์ชันแฮช SHA-1 ที่ก่อให้เกิดการชนกันของข้อมูล เรียกว่า Freestart Collision ส่งผลให้มีการคาดการณ์ว่า ภายในสิ้นปี 2015 แฮ็คเกอร์จะสามารถเจาะระบบ SHA-1 ได้อย่างแน่นอน และจะเป็นจุดสิ้นสุดของการใช้ฟังก์ชัน SHA-1 อย่างสมบูรณ์

เพียง $75,000 ~ $120,000 ก็สามารถแฮ็ค SHA-1 ได้

ในอดีต Bruce Schneier ผู้เชี่ยวชาญด้านความปลอดภัยคาดการณ์ว่า การแฮ็ค SHA-1 โดยใช้ Collision Attack จะต้องเสียค่าใช้จ่ายประมาณ $173,000 และจะทำสำเร็จภายในปี 2018 แต่จากผลงานวิจัยล่าสุดทำให้ทีมนักวิจัยคาดการณ์ว่า ถ้าเช่าระบบคลาวด์ Amazon EC2 จะเสียค่าใช้จ่ายประมาณ $75,000 ~ $120,000 ในการตั้งระบบเพื่อแฮ็ค SHA-1 และสามารถทำได้สำเร็จภายในสิ้นปี 2015 นี้

ประกาศเลิกใช้งาน SHA-1 ในปี 2017

Microsoft, Google และ Mozilla ได้ออกมาประกาศว่า เว็บเบราเซอร์ของพวกตนจะยกเลิกการรองรับ SSL Certificate ที่ใช้ฟังก์ชัน SHA-1 อย่างสมบูรณ์ในปี 2017 รวมทั้งระบุว่า SSL Certificate ที่ใช้ SHA-1 ไม่ควรถูกออกให้ใช้งานหลังปี 2015 นอกจากนี้ ทั้ง 3 บริษัทใหญ่ยังแนะนำว่า Signature ที่ใช้ SHA-1 ในปัจจุบันควรถูกระบุว่าเป็น Signature ที่ไม่ปลอดภัยในการใช้งาน สมควรถูกเปลี่ยนไปใช้ SHA-2 ให้เร็วที่สุด

ควรเปลี่ยนไปใช้ SHA-2 หรือ SHA-3 โดยเร็ว

ผู้ดูแลระบบเว็บเซิฟเวอร์ ควรเปลี่ยนไปใช้ฟังก์ชันแฮชแบบ SHA-2 หรือ SHA-3 แทนฟังก์ชันแบบเดิมที่ไม่ปลอดภัย โดยคาดการณ์ว่า ภายในสิ้นปีนี้ จะเหลือเว็บไซต์ที่ยังคงใช้ SHA-1 อยู่ไม่ถึง 10% ส่งผลให้ผู้ใช้งานที่ยังคงใช้ระบบปฏิบัติการและเว็บเบราเซอร์เวอร์ชันเก่าๆที่ไม่รองรับ SHA-2 จะเริ่มประสบปัญหาในการเล่นอินเตอร์เน็ต เช่น Google, Facebook หรือ Twitter ในปี 2016 อย่างแน่นอน

ที่มา: http://www.net-security.org/secworld.php?id=19025