SHA-1: מה זה וכיצד הוא משמש לאימות נתונים

מה צריך לדעת

• Secure Hash Algorithm 1 (SHA-1) הוא סוג של אלגוריתם המשמש לאימות אותנטיות הנתונים.
• אימות סיסמה ואימות קבצים הם דוגמאות לשימושים שלה.
• מחשבון מיוחד יכול למצוא את סכום הבדיקה SHA-1 של טקסט או קובץ.

מאמר זה בוחן מה המשמעות של SHA-1 וכיצד ולמה נעשה בו שימוש, וכן כיצד ליצור סכימי בדיקה של SHA-1.

כיצד לשנות את תמונת הפרופיל בפייסבוק מבלי לפרסם

מה זה SHA-1?

SHA-1 (קיצור של Secure Hash Algorithm 1) היא אחת ממספר פונקציות גיבוב קריפטוגרפיות.

הוא משמש לרוב כדי לוודא שקובץ לא השתנה. זה נעשה על ידי הפקת א סכום בדיקה לפני שידור הקובץ, ואז שוב ברגע שהוא מגיע ליעדו.

הקובץ המועבר יכול להיחשב אמיתי רק אם שני סכומי הבדיקה זהים.

דיוויד סילברמן / Getty Images News / Getty Images

היסטוריה ופגיעות של פונקציית SHA Hash

SHA-1 הוא רק אחד מארבעת האלגוריתמים במשפחת Secure Hash Algorithm (SHA). רובם פותחו על ידי הסוכנות לביטחון לאומי של ארה'ב (NSA) ופורסמו על ידי המכון הלאומי לתקנים וטכנולוגיה (NIST).

ל-SHA-0 יש גודל תקציר הודעות של 160 סיביות (ערך גיבוב) והיה הגרסה הראשונה של אלגוריתם זה. ערכי הגיבוב שלו הם באורך 40 ספרות. הוא פורסם תחת השם 'SHA' בשנת 1993 אך לא היה בשימוש ביישומים רבים מכיוון שהוא הוחלף במהירות ב-SHA-1 בשנת 1995 עקב ליקוי אבטחה.

SHA-1 הוא האיטרציה השנייה של פונקציית ה-hash ההצפנה הזו. לזה יש גם תקציר הודעות של 160 סיביות והוא ביקש להגביר את האבטחה על ידי תיקון חולשה שנמצאה ב-SHA-0. עם זאת, בשנת 2005, גם SHA-1 נמצא כלא בטוח.

לאחר שנמצאו חולשות קריפטוגרפיות ב-SHA-1, NIST הצהירה בשנת 2006 המעודדת סוכנויות פדרליות לאמץ את השימוש ב-SHA-2 עד שנת 2010, והוא הודח רשמית על ידי NIST ב-2011. SHA-2 חזק יותר מ-SHA- 1, וסביר להניח שהתקפות נגד SHA-2 לא יקרו עם כוח המחשוב הנוכחי.

לא רק סוכנויות פדרליות, אלא אפילו חברות כמו גוגל, מוזילה ומיקרוסופט החלו כולן בתוכניות להפסיק לקבל תעודות SHA-1 SSL או שכבר חסמו דפים מסוג זה מלטעון.

לגוגל יש הוכחות להתנגשות SHA-1 מה שהופך את השיטה הזו ללא אמינה להפקת סכומי בדיקה ייחודיים, בין אם מדובר על סיסמה, קובץ או כל נתון אחר. אתה יכול להוריד שניים ייחודיים PDF קבצים מ התנפץ לראות איך זה עובד. השתמש במחשבון SHA-1 מהתחתית של דף זה כדי ליצור את סכום הבדיקה עבור שניהם, ותגלה שהערך זהה לחלוטין למרות שהם מכילים נתונים שונים.

SHA-2 ו-SHA-3

SHA-2 פורסם בשנת 2001, מספר שנים לאחר SHA-1. הוא כולל שש פונקציות גיבוב בגדלים משתנים: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 ו-SHA-512/256.

פותח על ידי מעצבים שאינם NSA ו שוחרר על ידי NIST בשנת 2015 , הוא חבר נוסף במשפחת Secure Hash Algorithm, הנקרא SHA-3 (לשעבר Keccak).

SHA-3 לא נועד להחליף את SHA-2 כמו שהגרסאות הקודמות נועדו להחליף את הקודמות. במקום זאת, הוא פותח רק כחלופה נוספת ל-SHA-0, SHA-1 ו-MD5.

כיצד משתמשים ב-SHA-1?

דוגמה אחת בעולם האמיתי שבה ניתן להשתמש ב-SHA-1 היא כאשר אתה מזין את הסיסמה שלך בדף הכניסה של אתר אינטרנט. למרות שזה קורה ברקע ללא ידיעתך, ייתכן שזו השיטה שבה משתמש אתר כדי לוודא בצורה מאובטחת שהסיסמה שלך אותנטית.

כיצד לשמור נתוני משחק ב - iPhone

בדוגמה זו, דמיין שאתה מנסה להיכנס לאתר שאתה מבקר בו לעתים קרובות. בכל פעם שאתה מבקש להיכנס, אתה נדרש להזין את שם המשתמש והסיסמה שלך.

אם האתר משתמש בפונקציית ה-hash ההצפנה SHA-1, פירוש הדבר שהסיסמה שלך הופכת לסכום בדיקה לאחר הזנתה. סכום הבדיקה הזה מושווה לאחר מכן לסכום הבדיקה המאוחסן באתר המתייחס לסיסמה הנוכחית שלך, בין אם יש לך לא שינית את הסיסמה שלך מאז שנרשמת או אם רק שינית אותה לפני כמה דקות. אם השניים תואמים, תינתן לך גישה; אם לא, נאמר לך שהסיסמה שגויה.

דוגמה נוספת שבה ניתן להשתמש בפונקציית Hash זו היא לאימות קבצים. חלק מהאתרים יספקו את סכום הבדיקה של הקובץ בדף ההורדה, כך שכאשר אתה מוריד אותו, תוכל לבדוק את סכום הבדיקה בעצמך כדי לוודא שהקובץ שהורדת זהה לקובץ שהתכוונת להוריד.

אתה עשוי לתהות היכן יש שימוש אמיתי בסוג זה של אימות. שקול תרחיש שבו אתה יודע את סכום הבדיקה SHA-1 של קובץ מאתר האינטרנט של המפתח, אבל אתה רוצה להוריד את אותה גרסה מאתר אחר. לאחר מכן תוכל ליצור את סכום הבדיקה SHA-1 עבור ההורדה שלך ולהשוות אותו לסכום הבדיקה האמיתי מדף ההורדות של המפתח.

אם השניים שונים, זה לא רק אומר שתוכן הקובץ אינו זהה, אלא גם שםהָיָה יָכוֹללהיות תוכנה זדונית מוסתרת בקובץ, הנתונים עלולים להיות פגומים ולגרום נזק לקבצי המחשב שלך, הקובץ אינו קשור לקובץ האמיתי וכו'.

עם זאת, זה יכול גם רק אומר שקובץ אחד מייצג גרסה ישנה יותר של התוכנית מהאחר, מכיוון שאפילו השינוי המועט הזה ייצור ערך סכום בדיקה ייחודי.

ייתכן שתרצה גם לבדוק ששני הקבצים זהים אם אתה מתקין ערכת Service Pack או תוכנית או עדכון אחר, מכיוון שבעיות מתרחשות אם חלק מהקבצים חסרים במהלך ההתקנה.

מחשבוני SHA-1 Checksum

ניתן להשתמש בסוג מיוחד של מחשבון כדי לקבוע את סכום הבדיקה של קובץ או קבוצת תווים.

לדוגמה, SHA1 באינטרנט הוא כלי מקוון חינמי שיכול ליצור את סכום הבדיקה SHA-1 של כל קבוצת טקסט, סמלים ו/או מספרים. זה, למשל, יפיק את הזוג הזה:

באותו אתר יש את SHA1 בדיקת סכום קובץ כלי אם יש לך קובץ במקום טקסט.