Warum jeder die SHA-1-Verschlüsselung aufgibt
Der Secure Hash Algorithm (SHA) war vielleicht das am besten instrumentale Werkzeug im Kampf gegen Hacker zu Beginn des 21. Jahrhunderts. Die Fähigkeit, Daten ohne großen Aufwand zu verschlüsseln, während gleichzeitig eine übermäßige Menge an Hardware erforderlich ist, um sie zu durchbrechen, hat unsere Konten und Daten für den größten Teil von ein paar Jahrzehnten gesichert. Deshalb ist es eine Überraschung, dass alle großen Browser-Entwickler einstimmig davon ausgehen, dass SHA-1 komplett zugunsten des größeren Bruders SHA-2 aufgegeben werden sollte. Warum sind alle plötzlich entschlossen, es bis 2017 auslaufen zu lassen, und warum konnten beide nicht gleichzeitig existieren?
Hashing erklärt
Um SHA zu verstehen, müssen wir den Prozess und den Zweck hinter Hashing als eine Praxis betrachten. Ein Hash ist eine Zeichenfolge, die ein bestimmtes Asset darstellt, dieses jedoch nicht ersetzt. Vereinfacht ausgedrückt können Sie im Gegensatz zu den meisten kryptografischen Algorithmen einen Hash-Hashwert erstellen, aber Sie können ihn nicht "un-hashen". Dies ist nur sinnvoll, wenn der Zielserver nicht unbedingt den Inhalt der Daten kennen muss. Stattdessen muss es nur den Hash Ihrer Eingabe mit dem Hash innerhalb seiner Datenbank vergleichen und Sie authentifizieren, wenn beide übereinstimmen. Aus diesem Grund sind Hashes beim Speichern von Kontopasswörtern sehr nützlich. Der Server muss Ihr aktuelles Passwort nicht kennen, um Sie auf einer Website zu authentifizieren.
Warum wird SHA-1 dann aufgegeben?
Wenn Hashes so schwer in tatsächliche Daten zu rekonstruieren sind, warum ist es dann so wichtig, dass jeder so schnell aus der Existenz aussteigt? Alles hat mit Hardware zu tun.
Sie sehen, ein Hash kann "gehackt" werden, wenn jemand auf eine Eingabe stößt, die den Hash erzeugt, der mit dem Wert übereinstimmt, den ein Server im Speicher hat. Wenn Ihr Kontopasswort den Hash b27263b7466a56b1467822108f5487422d054bbb hat, muss ein Hacker nur einen anderen Text suchen (es muss nicht unbedingt Ihr Passwort sein), der genau diese Kombination erzeugen könnte, wenn er gehackt wird. Früher war es extrem teuer, die Art von Hardware zu erwerben, die dies innerhalb einer vernünftigen Zeitspanne tun könnte. Im Jahr 2015 könnte dies jedoch alles mit Hilfe eines Clusters von GPUs geschehen. Da Hardware immer leistungsfähiger und kostengünstiger wird, wird es so kostengünstig sein, SHA-1 zu lösen, dass selbst kleine Hacker und Enthusiasten dies tun können.
Treffen Sie SHA-2
Um die Probleme zu beseitigen, die SHA-1 geplagt haben, wurde SHA-2 als eine Familie kryptografischer Algorithmen mit dem Zweck geschaffen, das Leben für wohlhabende Hacker außerordentlich schwierig zu machen. Da Browser und Hosts die Verwendung von SHA-1-Zertifikaten einstellen, wären die Kosten für das Hacken eines Kontos durch die oben genannte Methode astronomisch. SHA-2 verwendet maximal 512 Bits in seiner Ausgabe und gibt ihm den Raum, den es braucht, um sicherzustellen, dass jeder Versuch, die Zeichenkette zu entziffern und zu reproduzieren, eine unangemessen lange Zeit in Anspruch nehmen würde. Natürlich wird dieser Algorithmus auch irgendwann in der Zukunft durchbrochen und irgendwann durch einen anderen ersetzt, der den Kampf fortsetzen kann.
Auf absehbare Zeit bleibt SHA-2 jedoch der Champion des Internets.
Wie viele Jahre noch wird SHA-2 im Ring bleiben? Sind Browser-Entwickler richtig bei der Entscheidung, ihren Vorgänger auslaufen zu lassen? Erzähl uns deine Gedanken in einem Kommentar!