SHA-1 (съкратено от Secure Hash Algorithm 1) е една от няколкото криптографски хеш функции.
Най-често се използва за проверка дали файлът е непроменен. Това се прави чрез създаване на контролна сума преди файлът да бъде предаден и след това отново, след като достигне местоназначението си.
Предаденият файл може да се счита за истински само ако и двете контролни суми са идентични.
История и уязвимости на SHA хеш функцията
SHA-1 е само един от четирите алгоритъма в семейството Secure Hash Algorithm (SHA). Повечето са разработени от Агенцията за национална сигурност на САЩ (NSA) и публикувани от Националния институт за стандарти и технологии (NIST).
SHA-0 има 160-битов размер на обобщеното съобщение (хеш стойност) и е първата версия на този алгоритъм. Неговите хеш стойности са дълги 40 цифри. Той беше публикуван под името "SHA" през 1993 г., но не беше използван в много приложения, защото бързо беше заменен с SHA-1 през 1995 г. поради пропуск в сигурността.
SHA-1 е втората итерация на тази криптографска хеш функция. Това също има дайджест на съобщението от 160 бита и се стреми да повиши сигурността чрез коригиране на слабост, открита в SHA-0. Въпреки това през 2005 г. SHA-1 също беше установено, че е несигурен.
След като бяха открити криптографски слабости в SHA-1, NIST направи изявление през 2006 г., насърчавайки федералните агенции да приемат използването на SHA-2 до 2010 г. SHA-2 е по-силен от SHA-1 и атаките срещу SHA-2 е малко вероятно да се случи с настоящата изчислителна мощност.
Не само федералните агенции, но дори компании като Google, Mozilla и Microsoft или са започнали да планират да спрат да приемат SHA-1 SSL сертификати, или вече са блокирали зареждането на този вид страници.
Google има доказателство за сблъсък на SHA-1, който прави този метод ненадежден за генериране на уникални контролни суми, независимо дали се отнася до парола, файл или друга част от данните. Можете да изтеглите два уникални PDF файла от SHAttered, за да видите как работи това. Използвайте SHA-1 калкулатор от долната част на тази страница, за да генерирате контролната сума и за двете, и ще откриете, че стойността е абсолютно същата, въпреки че съдържат различни данни.
SHA-2 и SHA-3
SHA-2 е публикуван през 2001 г., няколко години след SHA-1. Той включва шест хеш функции с различни размери на обобщения: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 и SHA-512/256.
Разработено от дизайнери извън NSA и пуснато от NIST през 2015 г., е друг член на фамилията Secure Hash Algorithm, наречена SHA-3 (по-рано Keccak).
SHA-3 не е предназначен да замени SHA-2, както предишните версии бяха предназначени да заменят по-ранните. Вместо това той е разработен просто като друга алтернатива на SHA-0, SHA-1 и MD5.
Как се използва SHA-1?
Един пример от реалния свят, при който може да се използва SHA-1, е когато въвеждате паролата си в страницата за вход на уебсайт. Въпреки че това се случва във фонов режим без ваше знание, това може да е методът, използван от уебсайт за сигурна проверка дали паролата ви е автентична.
В този пример си представете, че се опитвате да влезете в уебсайт, който често посещавате. Всеки път, когато поискате да влезете, трябва да въведете вашето потребителско име и парола.
Ако уебсайтът използва криптографската хеш функция SHA-1, това означава, че вашата парола се превръща в контролна сума, след като я въведете. Тази контролна сума след това се сравнява с контролната сума, която се съхранява на уебсайта и се отнася до текущата ви парола, независимо дали не сте променили паролата си, откакто сте се регистрирали, или просто сте я променили преди малко. Ако двете съвпадат, получавате достъп; ако не го направят, ви се казва, че паролата е неправилна.
Друг пример, където тази хеш функция може да се използва, е за проверка на файл. Някои уебсайтове предоставят контролната сума SHA-1 на файла на страницата за изтегляне, така че когато изтеглите файла, можете сами да проверите контролната сума, за да се уверите, че изтегленият файл е същият като този, който възнамерявате да изтеглите.
Може да се чудите къде е истинската употреба на този тип проверка. Помислете за сценарий, при който знаете контролната сума SHA-1 на файл от уебсайта на програмиста, но искате да изтеглите същата версия от друг уебсайт. След това можете да генерирате контролната сума SHA-1 за вашето изтегляне и да я сравните с истинската контролна сума от страницата за изтегляне на програмиста.
Ако двете са различни, това не само означава, че съдържанието на файла не е идентично, но може да има скрит зловреден софтуер във файла, данните може да са повредени и да причинят повреда на файловете на вашия компютър, файлът не е всичко свързано с истинския файл и т.н.
Въпреки това, това може просто да означава, че единият файл представлява по-стара версия на програмата от другия, тъй като дори тази малка промяна ще генерира уникална стойност на контролна сума.
Може също така да искате да проверите дали двата файла са идентични, ако инсталирате сервизен пакет или някаква друга програма или актуализация, защото възникват проблеми, ако някои от файловете липсват по време на инсталацията.
SHA-1 калкулатори за контролна сума
Може да се използва специален вид калкулатор за определяне на контролната сума на файл или група от символи.
Например, SHA1 Online и SHA1 Hash Generator са безплатни онлайн инструменти, които могат да генерират SHA-1 контролна сума на всяка група от текст, символи и/или числа.
Тези уебсайтове ще генерират например тази двойка:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
