tiistai 9. syyskuuta 2014

Google: Päivitä jo se SHA-1

Google muuttaa jatkossa Chrome -selaimensa tietoturvaa siten että se ei pidä enää SHA-1 algoritmiin perustuvia sivuja tietoturvallisina. Tarkoitus on saada ylläpitäjät päivittämään sivustonsa tukemaan vahvempaa SHA-2 algoritmisalausta.

SHA-2 on käytössä monessa palvelussa jo mutta verkossa on kuitenkin huomattavasti enemmän SHA-1 salaukseen pohjautuvia TLS/SSL suojattuja sivustoja, Google haluaa nyt patistaa ylläpitäjiä päivittämään sivustojen suojauksia SHA-1 algoritmin epäluotettavuudesta johtuen.

Googlen tapa voi olla melko radikaali mutta yhtiössä todella uskotaan että tämäntapainen patistus on tarpeellinen verkon yleisen tietoturvan vuoksi.

Googlen omalla verkkoselaimella Chromella on merkittävä asema selainten markkinaosuuksista joten tempauksella on hyvät onnistumisen mahdollisuudet.

Google Chromen ilmoitukset muuttuvat vaiheittain:

Google Chorme -selainta muutetaan siten että kun se tunnistaa verkkosivuilla olevan SHA-1 salauksen, merkitsee se sivun tietoturvamerkinnän keltaisella kolmiolla, myöhemmissä versioissa lukko katoaa kokonaan ja lopulta SHA-1 salausta käyttävissä sivuissa lukko merkitään punaisella x-merkillä ja https- vedetään yli ilmoittaen että sivuston luettavuus ei ole taattu.

Ensimmäinen vaiheToinen vaiheKolmas vaihe

Mikä SHA?

SHA ja sitä seuraavat SHA-1,SHA-2 sekä valmistumassa oleva SHA-3 on salausalgoritmi jota käytetään yleisesti muun muassa TLS- sekä SSL-salausprotokollissa joiden tarkoitus on muun muassa kertoa selaimelle ja sitä kautta palveluiden käyttäjille että he ovat oikeassa ja aidossa sivustossa eikä esimerkiksi huijarin tekaisemalla kopiolla.

SHA-1 on nykyisin tunnettu sen monista heikkouksista ja jopa SHA-2:ta on haukuttu heikoksi koska se perustuu liiaksi SHA-1 algoritmiin vaikkakin sitä on vahvistettu huomattavasti.

SHA algoritmilla on pitkät juuret NSA:n kanssa sillä se on kyseisen tiedusteluviranomaisen kehittämä joka ei ole antanut sille viime aikaisten paljastusten vuoksi kovin luotettavia arvosanoja.

SHA:n julkaiseva NIST (National Institute of Standards and Technology) käynnisti jo vuonna 2008 SHA-3 kehittämisen avoimella kilpailulla johon kuka tahansa pystyi tuomaan oman versionsa uudenlaisesta algoritmista. Nykyisellään SHA-3 on standardointi kierroksella jonka jälkeen se voidaan tuoda markkinoille.

LÄHDE: Chromium Blog