SHA-1 (afkorting van Secure Hash Algorithm 1) is een van de vele cryptografische hashfuncties.
Het wordt meestal gebruikt om te controleren of een bestand ongewijzigd is gebleven. Dit wordt gedaan door een controlesom te produceren voordat het bestand is verzonden, en nogmaals zodra het zijn bestemming heeft bereikt.
Het verzonden bestand kan alleen als echt worden beschouwd als beide controlesommen identiek zijn.
Geschiedenis en kwetsbaarheden van de SHA-hashfunctie
SHA-1 is slechts een van de vier algoritmen in de Secure Hash Algorithm (SHA)-familie. De meeste zijn ontwikkeld door de Amerikaanse National Security Agency (NSA) en gepubliceerd door het National Institute of Standards and Technology (NIST).
SHA-0 heeft een 160-bit berichtoverzicht (hashwaarde) en was de eerste versie van dit algoritme. De hash-waarden zijn 40 cijfers lang. Het werd in 1993 gepubliceerd onder de naam "SHA", maar werd niet in veel toepassingen gebruikt omdat het in 1995 snel werd vervangen door SHA-1 vanwege een beveiligingsfout.
SHA-1 is de tweede iteratie van deze cryptografische hashfunctie. Deze heeft ook een berichtoverzicht van 160 bits en probeerde de veiligheid te vergroten door een zwakte in SHA-0 te repareren. In 2005 bleek SHA-1 echter ook onveilig te zijn.
Toen er eenmaal cryptografische zwakheden waren gevonden in SHA-1, legde NIST in 2006 een verklaring af waarin federale agentschappen werden aangemoedigd om het gebruik van SHA-2 tegen het jaar 2010 over te nemen. SHA-2 is sterker dan SHA-1 en er worden aanvallen uitgevoerd tegen SHA-2 zal waarschijnlijk niet gebeuren met de huidige rekenkracht.
Niet alleen federale agentschappen, maar zelfs bedrijven als Google, Mozilla en Microsoft zijn allemaal begonnen met plannen om te stoppen met het accepteren van SHA-1 SSL-certificaten of hebben het laden van dat soort pagina's al geblokkeerd.
Google heeft bewijs van een SHA-1-botsing die deze methode onbetrouwbaar maakt voor het genereren van unieke controlesommen, of het nu gaat om een wachtwoord, bestand of andere gegevens. U kunt twee unieke PDF-bestanden van SHAttered downloaden om te zien hoe dit werkt. Gebruik een SHA-1-calculator onderaan deze pagina om de controlesom voor beide te genereren, en u zult zien dat de waarde exact hetzelfde is, ook al bevatten ze verschillende gegevens.
SHA-2 en SHA-3
SHA-2 werd gepubliceerd in 2001, enkele jaren na SHA-1. Het bevat zes hashfuncties met verschillende samenvattingsgroottes: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 en SHA-512/256.
Ontwikkeld door niet-NSA-ontwerpers en uitgebracht door NIST in 2015, is een ander lid van de Secure Hash Algorithm-familie, genaamd SHA-3 (voorheen Keccak).
SHA-3 is niet bedoeld om SHA-2 te vervangen zoals de vorige versies bedoeld waren om eerdere versies te vervangen. In plaats daarvan werd het ontwikkeld als een ander alternatief voor SHA-0, SHA-1 en MD5.
Hoe wordt SHA-1 gebruikt?
Een voorbeeld uit de praktijk waar SHA-1 kan worden gebruikt, is wanneer u uw wachtwoord invoert op de inlogpagina van een website. Hoewel het zonder uw medeweten op de achtergrond gebeurt, kan het de methode zijn die een website gebruikt om veilig te verifiëren dat uw wachtwoord authentiek is.
Stel je in dit voorbeeld voor dat je probeert in te loggen op een website die je vaak bezoekt. Elke keer dat u vraagt om in te loggen, moet u uw gebruikersnaam en wachtwoord invoeren.
Als de website de SHA-1 cryptografische hashfunctie gebruikt, betekent dit dat uw wachtwoord wordt omgezet in een controlesom nadat u deze hebt ingevoerd. Die controlesom wordt vervolgens vergeleken met de controlesom die is opgeslagen op de website die betrekking heeft op uw huidige wachtwoord, of je je wachtwoord niet hebt gewijzigd sinds je je hebt aangemeld of dat je het zojuist hebt gewijzigd. Als de twee overeenkomen, krijgt u toegang; als ze dat niet doen, krijgt u te horen dat het wachtwoord onjuist is.
Een ander voorbeeld waarbij deze hashfunctie kan worden gebruikt, is voor bestandsverificatie. Sommige websites geven de SHA-1-controlesom van het bestand op de downloadpagina, zodat u bij het downloaden van het bestand zelf de controlesom kunt controleren om er zeker van te zijn dat het gedownloade bestand hetzelfde is als het bestand dat u van plan was te downloaden.
Je vraagt je misschien af waar dit soort verificatie echt nuttig is. Overweeg een scenario waarin u de SHA-1-controlesom van een bestand van de website van de ontwikkelaar kent, maar dezelfde versie van een andere website wilt downloaden. U kunt dan de SHA-1-controlesom voor uw download genereren en deze vergelijken met de echte controlesom van de downloadpagina van de ontwikkelaar.
Als de twee verschillend zijn, betekent dit niet alleen dat de inhoud van het bestand niet identiek is, maar dat er verborgen malware in het bestand kan zitten, dat de gegevens beschadigd kunnen raken en schade aan uw computerbestanden kunnen veroorzaken, het bestand niet alles wat met het echte bestand te maken heeft, enz.
Het kan echter ook betekenen dat het ene bestand een oudere versie van het programma vertegenwoordigt dan het andere, aangezien zelfs die kleine verandering een unieke controlesomwaarde zal genereren.
Misschien wilt u ook controleren of de twee bestanden identiek zijn als u een servicepack of een ander programma of update installeert, omdat er problemen optreden als sommige bestanden tijdens de installatie ontbreken.
SHA-1 Checksum-rekenmachines
Een speciaal soort rekenmachine kan worden gebruikt om de controlesom van een bestand of een groep tekens te bepalen.
SHA1 Online en SHA1 Hash Generator zijn bijvoorbeeld gratis online tools die de SHA-1-controlesom van elke groep tekst, symbolen en/of cijfers kunnen genereren.
Die websites zullen bijvoorbeeld dit paar genereren:
pAssw0rd!
bd17dabf6fdd24dab5ed0e2e6624d312e4ebeaba
