SHA-1 (kort för Secure Hash Algorithm 1 ) är en av flera kryptografiska hashfunktioner.
SHA-1 används oftast för att verifiera att en fil har ändrats. Detta görs genom att producera en kontrollsumma innan filen har överförts, och sedan igen när den når sin destination.
Den överförda filen kan anses vara äkta endast om båda kontrollsummorna är identiska.
Historia och sårbarheter i SHA Hash-funktionen
SHA-1 är bara en av de fyra algoritmerna i Secure Hash Algorithm (SHA) -familjen. De flesta utvecklades av US National Security Agency (NSA) och publicerades av National Institute of Standards and Technology (NIST).
SHA-0 har en 160-bitars meddelande digest (hash värde) storlek och var den första versionen av denna algoritm. SHA-0 hash-värden är 40 siffror långa. Den publicerades under namnet "SHA" 1993 men användes inte i många applikationer eftersom det snabbt ersattes med SHA-1 1995 på grund av en säkerhetsfel.
SHA-1 är den andra iterationen av denna kryptografiska hashfunktion. SHA-1 har också ett meddelande som smälter på 160 bitar och försökt öka säkerheten genom att fixa en svaghet som finns i SHA-0. År 2005 visade sig emellertid SHA-1 vara osäker.
När kryptografiska svagheter hittades i SHA-1, gjorde NIST ett uttalande 2006 som uppmuntrar federala myndigheter att anta SHA-2 år 2010. SHA-2 är starkare än SHA-1 och attacker gjorda mot SHA-2 är osannolika att hända med nuvarande datorkraft.
Inte bara federala organ, men även företag som Google, Mozilla och Microsoft har alla antingen börjat planera att sluta acceptera SHA-1 SSL-certifikat eller har redan blockerat sådana sidor från lastning.
Google har bevis på ett SHA-1-kollision som gör denna metod otillförlitlig för att generera unika kontrollsummor, oavsett om det gäller ett lösenord, en fil eller någon annan data. Du kan ladda ner två unika PDF-filer från SHAttered för att se hur det fungerar. Använd en SHA-1-kalkylator längst ner på den här sidan för att generera kontrollsumman för båda, och du kommer att finna att värdet är exakt samma trots att de innehåller olika data.
SHA-2 och SHA-3
SHA-2 publicerades 2001, flera år efter SHA-1. SHA-2 innehåller sex hashfunktioner med varierande fördelningsstorlekar: SHA-224 , SHA-256 , SHA-384 , SHA-512 , SHA-512/224 , och SHA-512/256 .
Utvecklat av icke-NSA-designers och släppt av NIST 2015, är en annan medlem i familjen Secure Hash Algorithm, kallad SHA-3 (tidigare Keccak ).
SHA-3 är inte avsett att ersätta SHA-2 som tidigare versioner var avsedda att ersätta tidigare. I stället utvecklades SHA-3 som ett annat alternativ till SHA-0, SHA-1 och MD5.
Hur används SHA-1?
Ett verkligt exempel där SHA-1 kan användas är när du anger ditt lösenord i en webbplatss inloggningssida. Även om det händer i bakgrunden utan din vetskap, kan det vara den metod en webbplats använder för att säkert verifiera att ditt lösenord är autentiskt.
I det här exemplet kan du föreställa dig att du försöker logga in på en webbplats du ofta besöker. Varje gång du begär att logga in måste du ange ditt användarnamn och lösenord.
Om webbplatsen använder SHA-1 kryptografiska hashfunktionen betyder det att ditt lösenord blir omgjort till en checksumma efter att du har skrivit in den. Den checksummen jämförs sedan med kontrollsumman som lagras på webbplatsen som gäller ditt nuvarande lösenord, oavsett om du har tillflyktsort har inte ändrat ditt lösenord sedan du registrerade dig eller om du just ändrat det för tillfällen sedan. Om de två matchen får du tillgång Om de inte gör det, får du veta att lösenordet är felaktigt.
Ett annat exempel där SHA-1 hash-funktionen kan användas är för filverifiering. Vissa webbplatser kommer att ge SHA-1 kontrollsumma för filen på hämtningssidan så att när du hämtar filen kan du kontrollera kontrollsumman för dig själv för att säkerställa att den nedladdade filen är densamma som den du tänkte ladda ner.
Du kanske undrar var en verklig användning är i denna typ av verifiering. Tänk på ett scenario där du känner till SHA-1-kontrollsumman för en fil från utvecklarens webbplats men du vill ladda ner samma version från en annan webbplats. Du kan sedan generera SHA-1 kontrollsumma för din nedladdning och jämföra det med det verkliga kontrollsumman från utvecklarens nedladdningssida.
Om de två är annorlunda betyder det inte bara att filens innehåll inte är identiskt men det där skulle kunna dölja skadlig kod i filen, data kan skadas och orsaka skador på dina datafiler, filen är inte något relaterat till den verkliga filen etc.
Det kan dock också bara innebära att en fil representerar en äldre version av programmet än den andra eftersom även den lilla ändringen kommer att skapa ett unikt checksumvärde.
Du kanske också vill kontrollera att de två filerna är identiska om du installerar ett service pack eller något annat program eller uppdatering eftersom problem uppstår om några av filerna saknas under installationen.
SHA-1 checksumräknare
En särskild typ av räknare kan användas för att bestämma kontrollsumman för en fil eller en grupp av tecken.
SHA1 Online och SHA1 Hash är till exempel gratis onlineverktyg som kan generera SHA-1 kontrollsumma för alla grupper av text, symboler och / eller siffror.
Dessa webbplatser kommer till exempel att generera SHA-1 kontrollsumma för bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba för texten Passw0rd! .
