Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Tiếp sau Mozilla, Microsoft, đến lượt Google lên kế hoạch bỏ chứng thư số SHA-1
Google đang cân nhắc cấm các chứng thư được ký bằng mã hóa SHA-1 trên Google Chrome bắt đầu từ 1/7 năm tới. Động thái này tương tự như Mozilla và Microsoft lên kế hoạch bỏ SHA-1 trong 2 tháng qua.
Các nhà cung cấp trình duyệt đã quyết định sẽ ngừng sử dụng chứng thư ký SHA-1 mà các website HTTPS sử dụng vào 1/1/2017.
Nghiên cứu gần đây cho thấy SHA-1 yếu hơn so với mọi người vẫn nghĩ trước đây. Mozilla, Microsoft và giờ là Google đang cân nhắc bỏ chứng thư này trong 6 tháng tới.
“Giống như Microsoft Edge và Mozilla Firefox, ngày dự kiến bỏ chứng thư của chúng tôi là 1/1/2017. Tuy nhiên, chúng tôi đang cân nhắc bỏ sớm hơn vào 1/7/2016, thay thế sớm nhất có thể các chứng thư SHA-1”, các chuyên gia Google cho biết.
Cho tới lúc đó, từ phiên bản Chrome 48 dự kiến ra mắt vào đầu năm tới, trình duyệt này sẽ báo lỗi nếu website sử dụng ký số SHA-1.
Các website như Facebook và các trang được bảo vệ bởi CloudFlare vừa triển khai cơ chế fallback SHA-1. Cả 2 hãng này tranh luận rằng có hàng triệu người dùng tại các nước đang phát triển vẫn sử dụng các trình duyệt và hệ điều hành không hỗ trợ SHA-2 (giải pháp thay thế cho SHA-1). Việc bỏ SHA-1 sẽ khiến họ không thể truy cập vào các trang web đã chuyển đổi sang chứng thư mới.
Sự phát triển của điện toán đám mây với chi phí rẻ những năm gần đây đã khai tử cho thuật toán băm SHA-1 xuất hiện từ những năm 1995, và được biết đến có thể bị tấn công để giả mạo ký số.
Trong khi Viện Tiêu chuẩn và Kỹ thuật Quốc gia (Hoa Kỳ) từ lâu đã bắt buộc các cơ quan liên bang cần loại bỏ SHA-1, con số thống kê vào tháng 9 cho thấy gần như 1/3 trong số 145.000 trang web kích hoạt HTTPS phổ biến nhất vẫn sử dụng chứng thư SHA-1. Tại thời điểm hiện tại, con số này là khoảng 15%.
3 năm trước, các chuyên gia ước tính rằng một cuộc tấn công khai thác SHA-1 có thể tiêu tốn 700.000 USD cho việc sử dụng các dịch vụ điện toán đám mây vào năm 2015 và 173.000 USD vào năm 2018. Tuy nhiên, tháng 10 vừa qua, một nhóm nghiên cứu đã giới thiệu một cách mới có thể bẻ khóa SHA-1 với chi phí thấp hơn nhiều.
Điều này đã khiến các nhà cung cấp trình duyệt lo ngại và cân nhắc việc loại bỏ chứng thư SHA-1.
Nguồn: Computerworld
Các nhà cung cấp trình duyệt đã quyết định sẽ ngừng sử dụng chứng thư ký SHA-1 mà các website HTTPS sử dụng vào 1/1/2017.
Nghiên cứu gần đây cho thấy SHA-1 yếu hơn so với mọi người vẫn nghĩ trước đây. Mozilla, Microsoft và giờ là Google đang cân nhắc bỏ chứng thư này trong 6 tháng tới.
“Giống như Microsoft Edge và Mozilla Firefox, ngày dự kiến bỏ chứng thư của chúng tôi là 1/1/2017. Tuy nhiên, chúng tôi đang cân nhắc bỏ sớm hơn vào 1/7/2016, thay thế sớm nhất có thể các chứng thư SHA-1”, các chuyên gia Google cho biết.
Cho tới lúc đó, từ phiên bản Chrome 48 dự kiến ra mắt vào đầu năm tới, trình duyệt này sẽ báo lỗi nếu website sử dụng ký số SHA-1.
Các website như Facebook và các trang được bảo vệ bởi CloudFlare vừa triển khai cơ chế fallback SHA-1. Cả 2 hãng này tranh luận rằng có hàng triệu người dùng tại các nước đang phát triển vẫn sử dụng các trình duyệt và hệ điều hành không hỗ trợ SHA-2 (giải pháp thay thế cho SHA-1). Việc bỏ SHA-1 sẽ khiến họ không thể truy cập vào các trang web đã chuyển đổi sang chứng thư mới.
Sự phát triển của điện toán đám mây với chi phí rẻ những năm gần đây đã khai tử cho thuật toán băm SHA-1 xuất hiện từ những năm 1995, và được biết đến có thể bị tấn công để giả mạo ký số.
Trong khi Viện Tiêu chuẩn và Kỹ thuật Quốc gia (Hoa Kỳ) từ lâu đã bắt buộc các cơ quan liên bang cần loại bỏ SHA-1, con số thống kê vào tháng 9 cho thấy gần như 1/3 trong số 145.000 trang web kích hoạt HTTPS phổ biến nhất vẫn sử dụng chứng thư SHA-1. Tại thời điểm hiện tại, con số này là khoảng 15%.
3 năm trước, các chuyên gia ước tính rằng một cuộc tấn công khai thác SHA-1 có thể tiêu tốn 700.000 USD cho việc sử dụng các dịch vụ điện toán đám mây vào năm 2015 và 173.000 USD vào năm 2018. Tuy nhiên, tháng 10 vừa qua, một nhóm nghiên cứu đã giới thiệu một cách mới có thể bẻ khóa SHA-1 với chi phí thấp hơn nhiều.
Điều này đã khiến các nhà cung cấp trình duyệt lo ngại và cân nhắc việc loại bỏ chứng thư SHA-1.
Nguồn: Computerworld
Chỉnh sửa lần cuối bởi người điều hành: