Definició de SHA-1 i com s'utilitza per verificar dades
SHA-1 (curtmetratge per a l' algoritme de Secure Hash 1 ) és una de les diverses funcions hash criptogràfiques .
SHA-1 s'utilitza més sovint per verificar que un fitxer s'ha modificat. Això es fa produint una suma de comprovació abans que es transmeti el fitxer i, una vegada més, quan arribi al seu destí.
El fitxer transmès només es pot considerar genuí si ambdues comprovacions són idèntiques .
Historial i amp; Vulnerabilitats de la funció SHA Hash
SHA-1 és només un dels quatre algorismes de la família de l'algorisme Secure Hash (SHA). La majoria d'ells van ser desenvolupats per l'Agència de Seguretat Nacional dels Estats Units (NSA) i publicats per l'Institut Nacional d'Estàndards i Tecnologia (NIST).
SHA-0 té una mida de digestió de 160 bits (valor de valor hash) i va ser la primera versió d'aquest algoritme. Els valors de hash SHA-0 tenen 40 dígits. Es va publicar com el nom "SHA" el 1993, però no va ser utilitzat en moltes aplicacions perquè va ser ràpidament reemplaçat per SHA-1 el 1995 a causa d'un defecte de seguretat.
SHA-1 és la segona iteració d'aquesta funció hash criptogràfica. El SHA-1 també té un digestiu de 160 bits i ha volgut augmentar la seguretat mitjançant la correcció d'una debilitat que es troba en el SHA-0. Tanmateix, el 2005, el SHA-1 també es trobava insegur.
Una vegada que les debilitats criptogràfiques es van trobar a SHA-1, NIST va fer una declaració el 2006, encoratjant a les agències federals a adoptar l'ús de SHA-2 per a l'any 2010. SHA-2 és més fort que SHA-1 i els atacs realitzats contra SHA-2 són poc probables que passa amb el poder informàtic actual.
No només les agències federals, sinó que fins i tot empreses com Google, Mozilla i Microsoft han començat els plans per deixar d'acceptar certificats SSL SHA-1 o ja han bloquejat aquest tipus de pàgines des de la càrrega.
Google té una prova d'una col·lisió SHA-1 que no és confiable per generar controls únics, tant si es tracta d'una contrasenya, d'arxiu o de qualsevol altra informació. Podeu descarregar dos fitxers PDF únics de SHAttered per veure com funciona això. Utilitzeu una calculadora SHA-1 des de la part inferior d'aquesta pàgina per generar la suma de comprovació d'ambdós, i trobareu que el valor és el mateix exacte encara que continguin dades diferents.
SHA-2 i amp; SHA-3
SHA-2 va ser publicat el 2001, diversos anys després de SHA-1. SHA-2 inclou sis funcions hash amb diferents mides de resum: SHA-224 , SHA-256 , SHA-384 , SHA-512 , SHA-512/224 i SHA-512/256 .
Desenvolupat per dissenyadors no NSA i publicat per NIST el 2015, és un altre membre de la família Algoritmo Secure Hash, anomenat SHA-3 (anteriorment Keccak ).
SHA-3 no té per objecte substituir a SHA-2, ja que les versions anteriors havien de substituir les anteriors. En canvi, SHA-3 es va desenvolupar igual que una altra alternativa a SHA-0, SHA-1 i MD5 .
Com s'utilitza SHA-1?
Un exemple del món real on es pot utilitzar SHA-1 és quan introduïu la vostra contrasenya a la pàgina d'inici de sessió d'un lloc web. Tot i que succeeix en un segon pla sense el vostre coneixement, pot ser que sigui el mètode que un lloc web utilitza per comprovar de manera segura que la vostra contrasenya és autèntica.
En aquest exemple, imagineu que esteu intentant iniciar sessió en un lloc web que sovint visiteu. Cada vegada que sol·liciteu iniciar sessió, heu d'introduir el vostre nom d'usuari i contrasenya.
Si el lloc web utilitza la funció hash criptogràfica SHA-1, significa que la contrasenya es converteix en una suma de verificació després d'introduir-la. Aquesta suma de comprovació es compara amb la suma de comprovació emmagatzemada al lloc web que es relaciona amb la contrasenya actual, No heu canviat la vostra contrasenya des de la vostra inscripció o, recentment, l'heu canviat. Si la segona coincidència, se't concedeix accés; si no ho fan, se us demani que la contrasenya és incorrecta.
Un altre exemple on es pot utilitzar la funció hash SHA-1 és la verificació de fitxers. Alguns llocs web proporcionaran la suma de comprovació SHA-1 del fitxer a la pàgina de descàrrega, de manera que quan descarregueu el fitxer, podeu comprovar la suma de comprovació per assegurar-vos que el fitxer baixat sigui el mateix que el que voleu descarregar.
Vostè podria preguntar-se on és un ús real en aquest tipus de verificació. Tingueu en compte un escenari en el que conegui la suma de verificació SHA-1 d'un fitxer des del lloc web del desenvolupador, però voleu descarregar la mateixa versió des d'un lloc web diferent. Podrà generar la suma de comprovació SHA-1 per a la seva descàrrega i comparar-la amb la verificació de verificació de la pàgina de descàrrega del desenvolupador.
Si els dos són diferents, no només significa que els continguts del fitxer no són idèntics, sinó que hi pot haver un malware amagat al fitxer, les dades podrien ser danyades i causar danys als fitxers de l'ordinador, el fitxer no és res relacionat amb el fitxer real, etc.
Tanmateix, també podria significar que un fitxer representa una versió més antiga del programa que l'altra ja que fins i tot aquest petit canvi generarà un valor de suma de comprovació únic.
També voldreu comprovar si els dos fitxers són idèntics si esteu instal·lant un service pack o algun altre programa o actualització perquè es produeixen problemes si falten alguns dels fitxers durant la instal·lació.
Consulteu Com verificar la integritat d'arxius a Windows amb FCIV per obtenir un breu tutorial sobre aquest procés.
Calculadores de comprovacions SHA-1
Es pot utilitzar un tipus especial de calculadora per determinar la suma de verificació d'un fitxer o grup de caràcters.
Per exemple, SHA1 Online i SHA1 Hash són eines gratuïtes en línia que poden generar la suma de comprovació SHA-1 de qualsevol grup de text, símbols i / o números.
Aquests llocs web generaran, per exemple, la suma de verificació SHA-1 de bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba per al text pAssw0rd! .
Vegeu Què és un informe? per a algunes altres eines gratuïtes que poden trobar la suma de verificació dels fitxers reals a l'ordinador i no només una cadena de text.