عدم امنیت Certificateهای SHA-1 در IE و Edge

0
60
عدم امنیت Certificateهای SHA-1 در IE و Edge

طبق سیاست جدید شرکت مایکروسافت، تنها آن دسته از Certificate‌های SHA-1 که توسط شرکت‌های تجاری صدور Certificate صادر شده‌اند کنار گذاشته خواهند شد و Certificate‌های درون سازمانی و یا Self-Signed‌ مشمول این سیاست‌گذاری نمی‌شوند.

به تازگی Certificateهای SSL/TLS که از الگوریتم Hashing قدیمی SHA-1 استفاده نموده‌اند، در به‌روزرسانی‌های جدید Internet Explorer و Microsoft Edge ناامن تلقی می‌شوند. این سیاست به دنبال اقدامات مشابه چند ماه گذشته از سوی Chrome و Mozilla Firefox می‌باشد.

شرکت‌های صادر کننده‌ی Certificate و ارائه‌دهندگان مرورگرها در چند سال گذشته برای پایان بخشیدن به استفاده از Certificate‌های مبتنی بر الگوریتم SHA-1 در فضای وب تلاش کرده‌اند که دلیل آن را می‌توان ناتوانی این الگوریتم در تامین امنیت کافی در برابر حملات Spoofing دانست.

ایجاد این الگوریتم به سال ۱۹۹۵ بازمی‌گردد اما از سال ۲۰۰۵ آسیب‌پذیری آن در برابر حملات احتمالی آشکار شد، تا جاییکه موسسه‌ی ملی استاندارد و تکنولوژی آمریکا از سال ۲۰۱۰ استفاده از این الگوریتم را برای سازمان‌های فدرال آمریکا را ممنوع نمود، به علاوه شرکت‌های صدور Certificate نیز از سال ۲۰۱۶ مجاز به صدور Certificateهای مبتنی بر SHA-1 نبوده‌اند. (مگر در برخی موارد خاص مانند پایانه‌های قدیمی پرداخت)

‌Hash Functionها که SHA-1 نیز یکی از آن‌ها به شمار می‌رود، جهت پردازش رشته داده‌های مبتنی بر عدد و حروف به کار می‌روند؛ این رشته‌ها در حقیقیت یک فایل یا بخشی از‌ داده‌ها‌ی رمزنگاری‌شده را نمایش می‌دهند. این فرآیند، Digest نام دارد که منحصر‌به‌فرد و بازگشت‌ناپذیر بوده و می‌تواند به عنوان یکDigital Signature نیز عمل نماید.

اخیرا محققان گوگل و مرکز تحقیقاتی CWI با ایجاد حمله‌ای آزمایشی، آسیب‌پذیری این الگوریتم را در عمل نیز اثبات کردند که در نتیجه‌ی آن دو فایل PDF با یک SHA-1 Digest مشابه ایجاد گردید. این مسئله بی‌تردید نشان از ناتوانی این Hash Function قدیمی دارد و لزوم پرهیز از به کارگیری آن در برنامه‌های کاربردی با حساسیت امنیتی بالا را بیان می‌کند.

ارائه‌دهندگان مرورگرها از سال ۲۰۱۵ درنظر داشته‌اند تا با اعلام ناامنی در Certificate‌های SHA-1 مقدمات کنارگذاری کامل آن را فراهم نمایند. Google Chrome و Mozilla Firefox در چند مرحله اقدام به حذف SHA-1 نموده‌اند؛ به این صورت که از اوایل سال ۲۰۱۶ ابتدا آن دسته از Certificate‌های‌ SHA-1 را که تاریخ صدور آنها به بعد از اول ژانویه‌ی ۲۰۱۶ برمی‌گشت و سپس سایر Certificate‌های SHA-1 از جمله نمونه‌های قدیمی که از مدت اعتبار بالایی برخوردار بودند، کنارگذاشتند.

Google با عرضه‌ی نسخه‌ی ۵۶ مرورگر Chrome در ماه ژانویه، اقدام به کنارگذاری تمامی Certificate‌های مبتنی بر الگوریتم مذکور صادر شده توسط CA سرور های بین‌المللی نمود. در نسخه‌ی ۵۷ نیز تمامی Certificateهای مبتنی بر این الگوریتم (حتی Certificateهای صادر شده توسط CA سرورهای Local) ناامن تلقی گردید. با این‌حال با توجه به سیاست‌گذاری‌ برخی سازمان‌ها، راهکاری جهت جلوگیری از اعمال این محدودیت نیز در اختیار آنها قرار می‌گیرد. ( به دلیل استفاده برخی سازمان‌ها از Local Root CAسرورهایی که همچنان از Root Certificateهای Self-Signed مبتنی بر SHA-1 استفاده می‌کنند)

بنابر اعلام مایکروسافت، ممنوعیت اخیر در IE و Edge برای استفاده از SHA-1 تنها بر Certificate‌هایی که Root Certificate آن‌ها در Microsoft Trusted Root Program وجود دارد، اعمال می‌شود.

Certificate‌های سازمانی و Self-Signed که با استفاده از این الگوریتم صادر شده‌اند، فعلا تحت تاثیر این سیاست قرار نخواهند گرفت. اما لازم به ذکر است که مایکروسافت درنظر دارد تا در آینده SHA-1 را از تمام کاربردهای آن در ویندوز حذف نماید.

بدون دیدگاه

دیدگاهتان را بنویسید

*