SHA-1 sertifikası tarihe karışıyor
Onlarca yıldır kullanılan SHA-1 kriptosu web sitelerini korumaya yarıyordu. Google’ın CWI Amsterdan’daki güvenlik geliştiricilerinin yaptığı yeni keşif kriptoyu rafa kaldırmaya yetecek.
Geliştiricilerin ilk defa oluşturabildikleri “çakışma” sayesinde sistemin ciddi fonksiyon hataları üretmesini sağladı. Bu sayede internet siteleri siber saldırılarına tam 100,000 kat daha müsait oluyor. Yeniş keşif kriptonun kullanımına son verecek darbe olabilir.
SHA-1 sertifikasını kırmak güvenlik uzmanlarının uzun süredir üzerine uğraştıkları bir şeydi. Bunu ilk başaran ise Google oldu. Güvenlik uzmanları çakışmanın “en büyük bilgisayarlı hesaplama” olduğunu ifade etti.
Yeni keşif ciddi bir tehdit oluşturmaktan çok uzak. Zira Google Chrome, Microsoft Edge ve Firefox gibi büyük internet tarayıcıları SHA-1’i kullanmaktan uzun süre önce vaz geçmişti. Bu sistemi kullanan çok az tarayıcı bulunuyor. Geliştirici takım uyguladıkları saldırıyı 90 gün boyunca yayınlamayacaklarını ifade etti. Buna sebep olarak bu sistemi kullanan tarayıcılara önlem almaları için zaman vermek olduğu belirtildi.
Her ne kadar Google SHA-1 sertifikası kullanan sitelerin kırılabileceğini kanıtlamış olsa da bunu gerçekten başarmak için ciddi bir bilgisayar gücüne ihtiyaç duyuluyor. Google’ın açıklamasına göre normal bir sertifikayı kırmak için 12 milyon GPU’nun bir yıl boyunca çalışması gerekiyorken yeni keşifle SHA-1’i kırmak için sadece 110 GPU yeterli olacak. Buna rağmen böyle bir güce ulaşmak için bir süperbilgisayara ve hatırı sayılır vakte ihtiyaç var.
