ExpertBook B9 dòng sản phẩm mới của ASUS dành cho doanh nhân

Hai Thư viện Secure Shell mã nguồn mở đã bị ngừng hỗ trợ cho Secure Hash Algorithm 1 (SHA-1), được sử dụng trong vòng 20 năm qua để xác nhận tính toàn vẹn của phần mềm, chữ kí điện tử và các dữ liệu khác bởi sự lo ngại về bảo mật lâu nay.

Theo báo cáo từ Ars Technica, nhà phát triển sử dụng thư viên OpenSSH và Libssh sẽ không thể sử dụng SHA-1 để mã hoá chữ kí điện tử từ tuần này.

Thông báo được đưa ra dưới dạng ghi chú phát hành và vài cập nhật mã, đăng bởi OpenSSH và libssh, xác nhận cái kết dành cho SHA-1.

SHA-1, hàm mật mã hash được phát triển lần đầu năm 1995, đã được sử dụng để tạo ra các bản tóm tắt, mỗi bản gồm 40 kí tự hệ hexa. Các bản tóm tắt dùng để phân biệt các tin cập “Password” với chữ P viết hoa, thì bạn sẽ nhận được mã “8BE3C943B1609FFFBFC51AAD666D0A04ADF83C9D”.

Trong khi SHA-1 được chứng minh là hữu dụng với nhiều người, nhiều nhà nghiên cứu chỉ ra chúng có thể bị các tin tặc lợi dung để tạo ra các chữ kí điện tử giả mạo.

Trong năm 2005, người ta đã chứng minh được rằng với đủ sức mạnh điện toán, một người có thể tìm được 2 input tạo ra output là mã SHA-1 giống hệt nhau – gọi là hash collision. Có nghĩa là kẻ tấn công nào đủ kiên nhẫn cũng có thể làm giả chữ kí với SHA-1.

Năm đó cũng đánh dấu cho cái kết của SHA-1. Vào tháng 1, các nhà nghiên cứu xác định rằng tấn công kiểu hash collision chỉ tốn 45000$.

Đó là một cuộc tấn công “chosen-prefix”, vốn rất nghiêm trọng bởi chúng có nghĩa rằng có thể chỉnh sửa một input có sẵn mà vẫn có cùng mã SHA-1 — và nguy cơ lừa đảo khắp mọi nơi. Kẻ tấn công có thể sử dụng phương pháp này để chọc ngoáy vào các tài liệu hoặc phần mềm mà mã SHA-1 không hề bị thay đổi để mà bị phát hiện.

Phương án thay thế tốt hơn

Trong lời giải thích về việc loại bỏ SHA-1, OpenSSH nhắc tới nghiên cứu này: “Giờ đây có thể thực hiện một cuộc tấn công kiểu “chosen-prefix” chống lại thuật toán SHA-1 với số tiền ít hơn 50 nghìn đô. Vì lí do trên, chúng tôi sẽ vô hiệu hoá thuật toán chữ ký khóa công khai ‘ssh-rsa’ trong các bản cập nhật tiếp theo.

OpenSSH cũng chỉ ra có nhiều phương án thay thế tốt hơn, bao gồm thuật toán chữ kí RFC8332 RSA SHA-2 rsa-sha2-256/512. Họ bổ sung thêm: “Các thuật toán này có ưu điểm là sử dụng cùng kí tự như “ssh-rsa” nhưng sử dụng thuật toán SHA-2 an toàn hơn”

“Thuật toán này đã được hỗ trợ từ OpenSSH 7.2 à được cài mặc định nếu client và server đều hỗ trợ nó”.