Бесплатно Экспресс-аудит сайта:

31.07.2020

Microsoft намерена удалить все загрузки Windows, подписанные с SHA-1

Все файловые загрузки Windows, подписанные с использованием алгоритма криптографического хэширования Secure Hash Algorithm 1 (SHA-1), будут удалены из центра загрузки Microsoft 3 августа 2020 года.

Алгоритм SHA-1 обычно использовался для кодирования подписи исполняемых файлов, а также TLS- и SSL-сертификатов, используемых на web-сайтах для проверки подлинности издателя. Теоретическое описание взлома хэш-функций SHA-1 было опубликовано еще в 2005 году, но на практике осуществить атаку удалось лишь спустя 12 лет. В 2017 году ученым впервые удалось создать два файла с одинаковым хэшем SHA-1. Атака получила название SHAttered.

Из-за проблем с сертификатами SHA-1 Microsoft и другие разработчики отказались от использования SHA-1 и теперь требуют использовать SHA-2 для установки обновлений Windows.

«Чтобы поддерживать развивающиеся отраслевые стандарты безопасности и продолжать обеспечивать защиту и продуктивность пользователей, Microsoft откажется от контента, подписанного с помощью SHA-1. Это будет следующий шаг в наших постоянных усилиях по принятию SHA-2, который лучше соответствует современным требованиям безопасности и предлагает дополнительную защиту от распространенных векторов атак», — сообщили представители компании.

По словам Microsoft, SHA-1 является устаревшим, и многие представители ИБ-сообщества давно считают его небезопасным. Использование алгоритма хеширования SHA-1 в цифровых сертификатах может позволить злоумышленнику подделать контент, выполнить фишинговые атаки или осуществить MitM-атаки.