Hàm băm an toàn SHA-2 – Cuộc cách mạng đối với bảo mật web

Hàm băm an toàn SHA-2 – Cuộc cách mạng đối với bảo mật web

Dường như mã hàm băm SHA-2 là cuộc cách mạng hiệu quả đối với bối cảnh an ninh mạng toàn cầu. Tất cả những cái tên lớn của ngành công nghiệp hiện đang lựa chọn SHA-2 làm nền móng thay vì tiếp tục với SHA-1, phiên bản cũ của SHA-2. Chính vì vậy, hãy cùng tìm hiểu tại sao và làm thế nào mà giải pháp SHA-2 đang chiếm ưu thế

Tìm hiểu về gia đình SHA

Thuật giải băm an toàn (SHA) được công bố bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST). Về cơ bản, đó là tập hợp các hàm băm mật mã được phát triển với mục tiêu duy trì và nâng cao tính bảo mật và toàn vẹn trên môi trường Internet. NIST nhận định SHA như là Các tiêu chuẩn xử lý thông tin liên bang Hoa Kỳ (FIPS). Dưới đây là các hàm băm mật thuộc gia đình SHA:

  • SHA-0: Phiên bản nguyên gốc được công bố rộng rãi vào năm 1993. Hàm này có chức năng của hàm băm160 -bit và đã sớm bị thu lại sau khi xuất bản do vẫn còn rất nhiều nhược điểm lớn đến tận bây giờ vẫn chưa được tiết lộ.
  • SHA-1: Mang những tiêu chuẩn của thuật toán MD5, SHA-1 là 1 hàm băm 160-bit được thiết kể bởi Cơ quan An ninh Quốc gia (NSA) để trở thành 1 phần của thuật toán ký số. Tuy nhiên, sau khi tìm ra sự khác biệt trong hiệu suất và xử lý của nó vào năm 2010, nhiều chuyên gia tin rằng nó sẽ không tương thích với việc sử dụng mật mã.
  • SHA-2: SHA-2 cũng được tạo ra bởi Cơ quan An ninh Quốc gia (NSA). mã hàm băm này gần như thay thế hoàn toàn phiên bản trước đó SHA-1. SHA-2 bao gồm 2 mã hàm băm bảo mật, SHA-256 và SHA-512. Cả 2 mã hàm băm này khá tương đồng nhưng có kích cỡ khác nhau.
  • SHA-3: Mã này trước đây được gọi là Keecak. được lựa chọn bởi các nhà chức trách sau một cuộc thi được tổ chức công khai giữa các nhà sáng tạo không thuộc NSA. Chiều dài của mã này tương đương với SHA-2. Tuy nhiên, chiều dài bên trong thì hoàn toàn khác biệt so với các thành viên khác trong gia đình SHA và chưa có bất kỳ thông tin gì về việc nó sẽ được phát hành rộng rãi.

Nghiên cứu về hàm băm an toàn mới SHA-2

Được phát triển bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) và Cơ quan An ninh Quốc gia Hoa Kỳ, hàm băm SHA-2 mang những đặc điểm bảo mật cao khi so sánh với “phiên bản tiền nhiệm”, SHA-1. Bộ thuật toán này được cấp bằng sáng chế tại US 6829355 và được phát hành theo giấy phép miễn phí bản quyền bởi Hoa Kỳ. Hiện, bộ mã này bao gồm các hàm băm an toàn:

  • SHA-256 và SHA-512: Các hàm chức năng này được tính toán bằng thuật toán 32-bit và 64-bit tương ứng. Mặc dù sử dụng lượng dịch chuyển khác nhau và hằng số bổ sung và hằng số cơ bản, về cấu trúc, chúng cơ bản giống nhau. Điểm khác biệt duy nhất là số lượt mã hoá trong cấu trúc của nó.
  • SHA-224 và SHA-384: Các hàm băm này thường được coi nư phiên bản rút gọn của SHA-256 với SHA-384. Những giá trị đầu tiên của cả 2 bộ mã này là khác nhau.
  • SHA-512/224 & SHA-512/256: Nhìn một cách rõ ràng từ cách mà các hàm an toàn này được đặt tên, cả 2 hàm này đều là bản rút gọn của hàm SHA-512.

Tại sao phải chuyển đổi sang SHA-2?

SHA-1 là một thuật toán tiêu hoá tin, được công bố rộng rãi vào năm 1995 như 1 phần của Tiêu chuẩn Hàm băm bảo mật (bởi NIST). Kể từ khi được giới thiệu, SHA-1 trở thành một trong những lựa chọn phổ biến nhất của rất nhiều nhà cung cấp Chứng thực số (CA)

Hiện nay, như một phần của luật cơ bản, 1 hàm băm thuật toán được xem như là an toàn cho việc sử dụng chỉ khi nó có khả năng tạo ra đầu ra khác biệt cho bất kỳ đầu vào nào. Đồng thời, đầu ra không nên đảo ngược khi hàm phải hoạt động theo một hướng. Kể từ năm 2005, các nhà nghiên cứu và chuyên gia đã nhận định SHA-1 có thể là nạn nhân của những cuộc tấn công đụng độ. Trong trường hợp bị tấn công, các đầu vào có thể sản xuất những đầu ra giống nhau, như vậy, SHA-1 không còn có khả năng đáp ứng các tiêu chí bảo mật để hình thành một mật mã tin tiêu hoá an toàn.

Dưới đây là các sự kiện tấn công thực hiện trên SHA-1 vào SHA-1 với các chứng thư số SSL. mặc dù, các nhà nghiên cứu đã tìm ra cách đánh bại kết quả tương đồng giữa các tấn công MD5 và các cuộc tấn công được thực hiện trên SHA-1 (được lưu ý trong phân tích mật mã MD5 và SHA-1 bởi Marc Stevens):

1995: SHA-1 được công bố

2005: Tấn công vào 2ˆ69 công cụ liên lạc được mã hoá bằng SHA-1

2005: Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) khuyến khích người dùng ngừng sử dụng SHA-1

2012: Xung đột tiền tố từ 2ˆ61 phương tiện liên lạc

2012: Xung đột tiền tố được chọn từ 2ˆ77.1 phương tiện liên lạc

Sự phản đối với SHA-1 đã được biết đến rộng rãi vào năm 2011. Các nhà cung cấp dịch vụ Chứng thư số (CAs) và nhóm công nghiệp của các trình duyệt web hàng đầu thuộc của Diễn đàn CA/Browser đã kết hợp cùng tạo ra các yêu cầu bảo mật cơ bản cho Chứng thư số SSL. Đồng thời, họ cũng công khai về “yêu cầu nền tảng cho SSL”, điều này bắt buộc tất cả dịch vụ cung cấp chứng thư số phải chuyển đổi từ SHA-1 sang SHA-2.

Đến ngày, không hề có tần suất xảy ra về cuộc tấn công hoàn thành thành công vào SHA-1, nhưng những vấn đề lo ngại dấy lên theo sự bùng nổ của máy tính có khả năng tính toán. Tuy nhiên, những người dùng SHA-2 có thể thở phào nhẹ nhõm vì thuật toán này hoàn toàn không xảy ra va chạm.

Chúng ta đều nhận thức được rằng ngày nay những vụ việc tấn công mạng đã trở nên tinh vi như thế nào. Vì vậy, nó khá logic cho những thuật toán bảo mật đã được phát triển từ khoảng 2 thập kỷ trước, trở nên yếu hơn và hoạt động dễ bị tổn thương đối với công nghệ tiên tiến được những kẻ tấn công sử dụng. Và, theo kết quả, nó tạo ra trải nghiệm hoàn hảo cho người dùng khi chuyển đổi sang mã hàm băm mạnh hơn với sức mạnh của khả năng tính toán đủ mạnh để chống lại các cuộc tấn công và cho việc duy trì bảo mật trên Internet.

Hàm băm an toàn SHA-2 - Cuộc cách mạng đối với bảo mật web

Các máy chủ web tương thích với thuật toán SHA-2

Dưới đây là danh sách những máy chủ được nhận định tương thích với thuật toán SHA-2:

  • Máy chủ Apache (được kiểm tra bằng Apache 2.0.63 và Open SSL 0.9.7m. Điều này đòi hỏi OpenSSL 0.9.80+ để hoàn thiện đầy đủ)
  • Windows Server 2008+
  • Windows Vista
  • Windows Server 2003 với bản cập nhật 938397
  • Windows Server 2003 hoặc người dùng Windows XP với bản cập nhật 968730
  • Oracle WebLogic từ phiên bản 10.3.1, có bug 8422

Trình duyệt web tương thích với mã SHA-2

  • Internet Explorer 7 hoặc cao hơn
  • Internet Explorer 7+ dưới hệ điều hành Vista
  • Internet Explorer 7+ dưới hệ điều hành Windows XP SP3
  • Firefox 1.5+
  • Netscape 7.1+
  • Mozilla 1.4+
  • Safari thuộc hệ điều hành Mac OS X 10.5
  • Opera 9.0+
  • Các sản phẩm của Mozilla trên nền tảng NSS 3.8+ (từ 4/2003)
  • Các sản phẩm nền tảng OpenSSL 0.9.8o+
  • Sản phẩm nền tảng Java 1.4.2+
  • Chrome hệ điều hành Windows Vista và cao hơn
  • Chrome dưới hệ điều hành Mac from Mac OS X 10.5
  • Chrome hệ điều hành Linux

Share this post


Contact Me on Zalo