Компания Google обнародовала график прекращения поддержки сертификатов, использующих алгоритм хеширования SHA-1, несмотря на опасения, что после отказа от уязвимого алгоритма многие пользователи окажутся отрезанными от Интернета.

Переход с SHA-1 на более криптоустойчивый алгоритм за последние несколько месяцев ускорился, особенно после публикации научного исследования, авторы которого установили, что атака коллизией хэшей станет реальностью всего лишь через несколько месяцев, а не лет, как предполагалось ранее.

В Google заявили: после того как в начале января выйдет новая, 48-я версия Chrome, при посещении сайта с сертификатом SHA-1, выданным 1 января 2016 года и позже, пользователи увидят сообщение об ошибке. То есть это нововведение начнет действовать уже через 10 дней, и до 1 января 2017 года или даже до 1 июля 2016 года поддержка SHA-1 в Chrome полностью прекратится. Microsoft уже уведомила о том, что начнет блокировать сертификаты SHA-1 уже в июле 2016 года.

«На настоящий момент сайты, использующие сгенерированную по SHA-1 подпись как часть цепочки сертификации (за исключением самоподписанных корневых сертификатов), будут провоцировать фатальную сетевую ошибку, — сказано в заявлении Google. — Это в том числе касается цепочек сертификатов, завершающихся локальной точкой доверия, а также цепочек, замыкаемых на публичный УЦ».

Microsoft и Mozilla назначили примерно такие же сроки отказа от SHA-1 и поощряют владельцев веб-сайтов переходить на SHA-2, прекратить поддержку альтернативных RC4 криптонаборов и внедрять TLS.

В то же время Facebook и CloudFlare призвали пересмотреть столь жесткий график отхода от SHA-1. Директор по безопасности Facebook Алекс Стамос (Alex Stamos) привел данные, согласно которым до 7% браузеров пользователей соцсети не поддерживают алгоритм SHA-256, то есть через полторы недели сотни миллионов интернет-пользователей будут отрезаны от Интернета.

«Абсолютное большинство таких пользователей живут в развивающихся странах. Следствием столь спешного перехода на более криптостойкий алгоритм может стать другая серьезная проблема. Власти, компании и общественные организации, желающие обеспечить доступность интернет-ресурсов для столь огромной аудитории, могут придержать темпы перехода на защищенный протокол HTTPS», — предупреждает Стамос.

Глава CloudFlare Мэттью Принс (Matthew Prince) также привел свои доводы: например, когда алгоритм MD5 отправляли на покой, SHA-1 уже был широко распространен, чего нельзя сказать о SHA-2, который также не будет поддерживаться на старых мобильных устройствах.

«Конечно, если ваша компания работает в Силиконовой долине, где большинство сотрудников обновляют ноутбук каждый год и где не встретишь ни одного человека с телефоном старше пяти лет, для вас нет никакой проблемы. Но Интернетом пользуются миллиарды людей по всему миру, и не у всех есть доступ к новейшим технологиям, — отметил Принс. — Чтобы понять серьезность последствий, мы в течение нескольких недель тестировали подключения к сети CloudFlare в поисках соединений с поддержкой SHA-2. При этом наша выборка довольно репрезентативна: у нас более триллиона просмотров и 2,2 млрд уникальных посетителей в месяц».

По расчетам Принса, около 37 млн пользователей будут отрезаны от Интернета из-за отказа от SHA-1. Стамос тем временем предложил альтернативу: CA/Browser Forum создает особый тип сертификата — «верифицированный по наследству» сертификат (Legacy Verified), который будет выдаваться организациям, уже предоставляющим сертификаты SHA-256 для современных браузеров.

«Подобного рода верификация может производиться как вручную, так и автоматически, к тому же можно предусмотреть ряд дополнительных мер для предотвращения атак коллизией хэша. Например, можно потребовать от сайтов, подавших заявки на LV-сертификаты, пройти перед этим верификацию OV или EV. Также можно использовать передовые технологии — например, рандомизацию серийных номеров, — советует Стамос. — Если внедрить такие изменения до 31 декабря не представляется возможным, мы бы рекомендовали CA/B Forum отложить тотальный отказ от SHA-1 на время, необходимое для разработки стандартов для унаследованных сертификатов».

Спешка началась в октябре, с публикацией исследования, показавшего, что модификация существующих атак на SHA-1 и прогресс в изучении этого алгоритма способны значительно снизить стоимость атаки и сократить время, необходимое для создания коллизии. С учетом того, что по закону Мура производительность вычислительных систем удваивается каждые два года, момент, когда атаки коллизией хэша SHA-1 реальны, уже не за горами. Стоимость подобной атаки может снизиться до $75–100 тыс., а время выработки коллизии сокращается до 49–78 дней, что вполне по силам спонсируемым спецслужбами хакерам и обеспеченным кибергруппировкам.

«Это серьезная проблема, и со мной могут не согласиться некоторые люди, имеющие совершенно благие намерения, — говорит Стамос. — Я надеюсь, что мы сможем найти оптимальный путь, который обеспечит максимально надежное шифрование и при этом не оставит за бортом тех, кому не по карману устройства новейшего поколения».

Категории: Главное, Кибероборона, Уязвимости