ข่าวไอที Blognone » NIST ประกาศถอด SHA-1 ออกจากมาตรฐานความปลอดภัยทั้งหมดสิ้นปี 2030 แต่แนะนำให้เลิกใช้ได้แล้ว

NIST ประกาศถอด SHA-1 ออกจากมาตรฐานความปลอดภัยทั้งหมดสิ้นปี 2030 แต่แนะนำให้เลิกใช้ได้แล้ว

19 ธันวาคม 2022
1   0

NIST หน่วยงานออกมาตรฐานอุตสาหกรรมสหรัฐฯ ประกาศแผนการถอดมาตรฐานการแฮช SHA-1 ออกจากมาตรฐานทั้งหมดภายในปี 2030 แม้ว่าจะแนะนำให้เลิกใช้งานเร็วที่สุดที่เป็นไปได้ก็ตาม

กระบวนการแฮชแบบ SHA-1 ถูกใช้งานในมาตรฐานหลายตัวของ NIST โดยเอกสารหลักคือ FIPS-180 เอกสารที่ระบุกระบวนการเข้ารหัสที่ยอมให้ใช้งานที่ NIST ใส่ SHA-1 ไว้ตั้งแต่เวอร์ชั่นแรกของเอกสารที่ออกปี 1993

การถอด SHA-1 ออกจากเอกสารจะทำให้หน่วยงานรัฐบาลกลางสหรัฐฯ ไม่สามารถซื้อซอฟต์แวร์หรือฮาร์ดแวร์ที่ใช้งานกระบวนการแฮช SHA-1 เพื่อรักษาความปลอดภัยได้อีกต่อไป การที่ NIST ประกาศล่วงหน้านานถึง 8 ปีเช่นนี้เพราะโครงการภาครัฐหลายโครงการกินเวลานานหลายปีจึงต้องให้เวลาบริษัทต่างๆ ปรับข้อเสนอโครงการกันแต่เนิ่นๆ

SHA-1 มีความยาวค่าแฮช 160 บิต แต่งานวิจัยตั้งแต่ปี 2014 แสดงให้เห็นว่าความปลอดภัยของค่าแฮชจริงๆ มีเพียง 60 บิตเท่านั้น กูเกิลเป็นบริษัทแรกๆ ที่ประกาศถอน SHA-1 ออกจากการใช้งานใบรับรองเข้ารหัสตั้งแต่ปี 2015 และยังลงทุนสาธิตให้ดูว่าสามารถสร้างเอกสารที่ค่าแฮชตรงกันได้จริงในปี 2017 แม้ว่าจะต้องใช้เงินทุนนับแสนดอลลาร์ และตอนนี้เวลาผ่านมา 5 ปีต้นทุนของการปลอมเอกสารที่ค่าแฮชตรงกันก็ลดลงอย่างมาก

ที่มา - NIST

No Description

ภาพโดย B. Hayes จาก NIST

[source: https://www.blognone.com/node/131928]