Последние пару лет производители браузеров стремятся ускорить миграцию с SHA-1 на SHA-2, а эксперты усиленно предупреждают об атаках коллизией хэша, практическая реализация которых становится все вероятнее. Через считаные недели истекут сроки, назначенные Google, Mozilla и Microsoft для упразднения устаревшего и слабого алгоритма хэширования SHA-1.

Начиная с 24 января Firefox первым из ведущих браузеров начнет отображать предупреждения о сайтах, не поддерживающих цифровые сертификаты, подписанные с использованием SHA-2. Переход на более криптостойкий хэш-алгоритм обусловлен стремлением защитить пользователей от коллизионных атак, стоимость которых стремительно снижается. Так, в 2012 году Брюс Шнайер (Bruce Schneier) предсказал, что к 2015 году затраты на вычислительные мощности, требуемые для проведения подобной атаки, составят $700 тыс., а к 2018 году — $143 тыс. В 2015 году исследователи обнаружили, что алгоритм SHA-1 можно атаковать при уровне затрат от $75 тыс. до $125 тыс.

Тем не менее эксперты опасаются, что окончательный переход на SHA-2 будет иметь массу неприятных последствий из-за использования неподдерживаемого ПО или неправильно сконфигурированного оборудования, случаев порчи средств обработки платежей, теряющих связь с бэкенд-сервером, и т.п. Более того, переходный процесс весьма мучителен для бизнес-структур, деятельность которых зависит от растущего числа цифровых сертификатов, используемых не только для сайтов, но также для дата-центров, облачных сервисов, мобильных приложений.

«Депрекация SHA-1 в контексте браузера — несомненный успех, — комментирует Кевин Боцек (Kevin Bocek), вице-президент Venafi по ИБ-стратегии и исследованию угроз. — Однако это лишь верхушка айсберга. Большинство не видит истинного масштаба проблемы перехода на SHA-2. Полностью избавиться от SHA-1 к февралю не получится, так как существуют еще тысячи личных сертификатов, которые тоже нуждаются в миграции».

Согласно результатам новейшего исследования Venafi, в настоящее время ненадежные сертификаты SHA-1 используют порядка 35% сайтов IPv4. В то же время SHA-2, как оказалось, не поддерживают лишь 536 сайтов-миллионщиков из списка Alexa.

Каждое правило имеет исключения

Некоторые компании, опасаясь сбоя деловых операций после дедлайна на SHA-1, просят сделать для них исключение и ищут альтернативы полноценной поддержке SHA-2. «Различные компании по тем или иным причинам оказались не в состоянии завершить переход, — подтвердил Патрик Донахью (Patrick Donahue), глава разработчиков ИБ-продукции Cloudflare. — Производители браузеров предусмотрели для таких исключительных случаев процедуру подачи заявок, позволяющих УЦ издавать такие сертификаты».

Так, например, в прошлом году Mozilla разрешила ИБ-компании выдать девять новых сертификатов SHA-1 процессинговой компании Worldpay для использования в 10 тыс. платежных терминалов, которые она держит по всему миру. Worldpay не успела получить сертификаты SHA-1 в срок, до 31 декабря 2015 года, и нуждалась в дополнительном времени для перехода на SHA-2, а терминалы не могли простаивать. После длительных переговоров Mozilla согласилась сделать исключение.

По данным Cloudflare, аналогичные проблемы ожидают 10% других платежных сервисов, когда браузеры начнут отвергать сертификаты SHA-1 в их терминалах. «В системах обработки кредитных карт простым обновлением ПО не обойдешься, — поясняет Донахью. — Придется высылать новые процессоры кредиток, поддерживающие SHA-2».

Для такого гиганта социального сервиса, как Facebook, исключения в данном случае — не панацея, этой компании скорее нужно искать решение, способное сохранить пользовательскую аудиторию, привязанную к устаревшим компьютерам и телефонам. В конце 2015 года Facebook апеллировала к тому, что порядка 7% браузеров ее пользователей, в частности, в развивающихся странах не поддерживают стандарт SHA-2. «Мы считаем неправильным лишать десятки миллионов людей преимуществ шифрованного Интернета, в особенности из-за того, что они продолжают пользоваться устройствами, заведомо несовместимыми с SHA-256», — заявил тогда директор Facebook по ИБ Алекс Стамос (Alex Stamos).

Единственным решением для Facebook, как и для ряда других компаний, являлся временный фикс, который бы действовал, пока SHA-2 не будет внедрен повсеместно. В итоге Facebook начала с успехом применять граничное переключение соединений, с выбором сертификатов в зависимости от возможностей пользовательского браузера. «Это позволило нам предоставлять HTTPS устаревшим браузерам, используя SHA-1, а более новым — преимущества защиты SHA-256», — пояснил Стамос.

Cloudflare и Mozilla разработали аналогичные техники для клиентов, обеспокоенных возможностью прекращения работы их бизнес-сайтов после депрекации SHA-1. «Самым большим аргументом для оператора веб-сервера является необходимость поддерживать Internet Explorer на Windows XP (ниже SP3), в котором отсутствует поддержка SHA-2, — говорит Джей Си Джонс (J.C. Jones), руководитель разработок криптографических средств в Mozilla. — Тем не менее сайты, которым нужно соответствовать этим требованиям (в том числе www.mozilla.org), разработали техники, позволяющие возвращать сертификат SHA-2 современным браузерам и сертификат SHA-1 — клиентам IE/XP».

Такие обходные маневры пригодны для браузеров, но для мобильных приложений переход на SHA-2 остается вызовом.

Приложения должны наверстать упущенное

Когда браузер отвергает сертификат SHA-1, это можно заметить по предупреждению. С приложениями дело обстоит иначе. Хотя Android и iOS поддерживают SHA-2 уже больше года, в большинстве приложений такая поддержка до сих пор отсутствует. «В приложении не видно, какие из соединений доверенные, приходится слепо верить всем», — сетует Боцек из Venafi.

В то же время эксперт отметил, что доверять мало, нужно и проверять. В качестве примера Боцек напомнил о случае с Fandango и Credit Karma, которым в 2014 году пришлось урегулировать конфликт с ФТК, обвинившей их в обмане пользователей. Компании уверяли клиентов, что их данные надежно защищены и передаются по шифрованным SSL-каналам, тогда как на самом деле они попросту отключили проверку сертификатов в своих приложениях.

Используемый приложениями SHA-1 — это все же защита, однако отсутствие поддержки SHA-2 создает риск злонамеренного использования поддельного сертификата. Подменив DNS для публичной точки Wi-Fi-доступа, злоумышленник сможет провести MitM-атаку, и использование недоверенных SSL-сертификатов, по свидетельству Боцека, пройдет незамеченным. В случае с браузером такая подмена сразу стала бы очевидной.

Разработчиков приложений не заботит давление со стороны вендоров браузеров, для них важнее регламент, совместно выработанный для индивидуальных платформ. В декабре прошлого года Apple была вынуждена продлить для разработчиков сроки перехода на App Transport Security, предполагающий внедрение поддержки SHA-2. Новый дедлайн пока не назначен. В аналогичной ситуации оказалась и Google: пока не понятно, будет ли автор Android требовать от разработчиков миграции на SHA-2 или попросту начнет блокировать сертификаты SHA-1, используемые для подписи приложений.

Salesforce в свою очередь объявила разработчикам и пользователям: если они хотят и впредь иметь безотказный доступ к ее ресурсам, им надлежит удостовериться в том, что их ОС, браузеры и микропрограммы способны принимать сертификаты SHA-2. В противном случае их подключения будут блокироваться.

Facebook, сделавшая послабления в отношении SHA-1 для пользователей соцсети, установила жесткий дедлайн на использование этого алгоритма разработчиками — 1 октября 2016 года. После этой даты приложения, не поддерживающие SHA-2, более не смогут подключаться к ее сети. «Если ваше приложение полагается на верификацию сертификатов на основе SHA-1, без обновления оно будет работать нестабильно», — отметил на тот момент Адам Гросс (Adam Gross), инженер по организации производства в Facebook.

Внутренние ИОК тоже не застрахованы от проблем

Обновление инфраструктур открытых ключей, используемых корпоративным оборудованием, ПО и облачными приложениями, — тоже пока не столь неотложная задача, однако эксперты предупреждают, что здесь будут все те же проблемы с сертификатами. Достаточно упомянуть хотя бы тот факт, что число сертификатов в организациях в среднем выросло до 10 тыс., и при таком объеме переход с SHA-1 на SHA-2 превратится для снабженцев в настоящий кошмар, как говорят в Venafi.

Рост SSL- и TLS-трафика — это, по словам Боцека, палка о двух концах: «Больший уровень безопасности — это, конечно, благо, но одно белое пятно среди тысяч сертификатов на предприятии может оказаться катастрофическим для безопасности всего бизнеса».

«Это оперативный вопрос, — продолжает представитель Venafi. — Патчингом или апгрейдом систем его не решить». Миграция, по его словам, потребует оценки наличных сертификатов, пересмотра политик, тестирования приложений и систем, а также автоматизации. В заключение Боцек предостерег, что излишне затягивать этот процесс не следует. Переход на SHA-2 — дело непростое, и в 2017 году оно не окончится, а лишь наберет обороты.

Категории: Главное, Кибероборона, Уязвимости