image

NIST neemt afscheid van SHA-1-algoritme en adviseert uitfaseren voor 2031

donderdag 15 december 2022, 17:14 door Redactie, 7 reacties

Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, heeft vandaag het afscheid van het SHA-1-algoritme aangekondigd en adviseert om zo snel mogelijk op SHA-2 of SHA-3 over te stappen.

Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden.

Er zijn verschillende SHA-versies in omloop. Sinds 2005 zijn er collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren (pdf). Vandaag kondigt het NIST het afscheid van het algoritme aan. Organisaties zouden SHA-1 voor 31 december 2030 moeten hebben uitgefaseerd, maar het NIST adviseert om zo snel mogelijk op SHA-2 of SHA-3 over te stappen.

NIST zal zelf voor 31 december 2030 stoppen met het gebruik van SHA-1 in de laatste specifieke resterende protocollen. Verder wordt het de Amerikaanse federale overheid verboden om modules aan te schaffen die na 31 december 2030 nog steeds van SHA-1 gebruikmaken. Bedrijven hebben nu acht jaar de tijd om modules zonder SHA-1 in te dienen, die vervolgens kunnen worden goedgekeurd voor overheidsgebruik.

Reacties (7)
15-12-2022, 22:11 door Anoniem
20 jaar om een protocol uit te faseren. En dat is eigenlijk 25 jaar na het duidelijk worden dat het protocol onveilig is.
Er gaat iets fundamenteel fout in de IT. Er moet op een andere manier worden gevonden om oude technologie op te ruimen want dit is duidelijk niet de manier. Dat ligt niet alleen aan het NIST als Standaard Instituut. Dit zit veel dieper in applicatie ontwikkeling en life cycle van zaken.
16-12-2022, 14:17 door Anoniem
Door Anoniem: 20 jaar om een protocol uit te faseren. En dat is eigenlijk 25 jaar na het duidelijk worden dat het protocol onveilig is.
Er gaat iets fundamenteel fout in de IT. Er moet op een andere manier worden gevonden om oude technologie op te ruimen want dit is duidelijk niet de manier. Dat ligt niet alleen aan het NIST als Standaard Instituut. Dit zit veel dieper in applicatie ontwikkeling en life cycle van zaken.
Heeft vooral met root certificaten te maken. die zijn lang (20+ jaar) geldig. Als het risico beperkt is, heeft het geen zin om eerder de root certificaten te vernieuwen inclusief alle onderliggende certs.
Het wordt een grotere uitdaging voor unsupported IoT hardware, die zou je dan weg moeten gooien. Niet echt milieu vriendelijk
16-12-2022, 20:59 door Anoniem
Door Anoniem: Heeft vooral met root certificaten te maken. die zijn lang (20+ jaar) geldig. Als het risico beperkt is, heeft het geen zin om eerder de root certificaten te vernieuwen inclusief alle onderliggende certs.

Root certificaten hoef je niet te ondertekenen met SHA-1 of welk ander hash algoritme dan ook. Ze worden impliciet vertrouwd door bijvoorbeeld je browser.

Wie zou de root certificaten dan moeten ondertekenen? Een root certificaat voor lagere root certificaten?
18-12-2022, 17:45 door Anoniem
Met de hash wordt de correctheid van het certificaat gecontroleerd. ( dat het niet aangepast is...).
18-12-2022, 17:47 door Anoniem
Oh btw root certificaten zijn self signed.
19-12-2022, 08:37 door Anoniem
Door Anoniem: Oh btw root certificaten zijn self signed.

Dus? Iemand die zijn eigen root certificaat in je browser kan installeren, kan ook dat certificaat zelf ondertekenen.

Root certificaten hebben geen zelf signatuur nodig. Ze worden impliciet vertrouwd.
19-12-2022, 11:02 door Anoniem
Door Anoniem:
Door Anoniem: 20 jaar om een protocol uit te faseren. En dat is eigenlijk 25 jaar na het duidelijk worden dat het protocol onveilig is.
Er gaat iets fundamenteel fout in de IT. Er moet op een andere manier worden gevonden om oude technologie op te ruimen want dit is duidelijk niet de manier. Dat ligt niet alleen aan het NIST als Standaard Instituut. Dit zit veel dieper in applicatie ontwikkeling en life cycle van zaken.
Heeft vooral met root certificaten te maken. die zijn lang (20+ jaar) geldig. Als het risico beperkt is, heeft het geen zin om eerder de root certificaten te vernieuwen inclusief alle onderliggende certs.
Het wordt een grotere uitdaging voor unsupported IoT hardware, die zou je dan weg moeten gooien. Niet echt milieu vriendelijk
Even in de local store op de Windows computer gekeken. Boeiend. De laatst geldige root Cert met SHA1 is van de "EUROPEAN SYSTEM OF CENTRAL BANKS" en die is geldig tussen 2011-2041. Er staan nog een vrij groot aantal root certs in die geldig zijn voorbij 2031
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.