Alfonso Maruccia

SHA-1, si avvicina la fine

Google si unisce alle aziende che hanno dichiarato di voler anticipare la dismissione dell'algoritmo crittografico di NSA, mentre altri frenano: decine di milioni di utenti con browser non aggiornati si troveranno disconnessi

Roma - L'algoritmo per l'hashing crittografico SHA-1 è oramai quasi prossimo al pensionamento, e ora anche Google ha annunciato l'intenzione di anticipare al 2016 il tempo in cui i suoi browser non integreranno più la tecnologia sulle piattaforme supportate.

Gli hash calcolati con SHA-1 sono sempre più insicuri, dicono i ricercatori, soprattutto a causa della disponibilità di hardware o servizi cloud sempre più performanti con cui poter tentare il cracking dell'algoritmo. Le aziende di rete prevedevano inizialmente di abbandonare l'algoritmo in favore del più sicuro SHA-2 nel 2018, poi la data è stata spostata indietro di un anno e infine nel 2016.

Nell'estate dell'anno prossimo sia Mozilla che Microsoft disabiliteranno in via definitiva il supporto di SHA-1, e Google seguirà a ruota con il suo Chrome. L'abbandono dell'algoritmo creato da NSA nel lontano 1995 dovrebbe avere ripercussioni positive sul fronte della sicurezza online, ma non tutti sono entusiasti della scelta dei tre principali produttori di browser Web.
Sia Facebook che Cloudflare tendono infatti a frenare l'entusiasmo che accompagna l'ennesimo diktat dell'update forzato dispensato da Mozilla, Microsoft e Google, perché da luglio 2016 un gran numero di utenti (37 milioni, nei calcoli di Cloudflare) si troverà impossibilitato ad accedere ai servizi di rete che ancora fanno uso di SHA-1.
La soluzione, ipotizzano il social network e l'azienda di CDN, consisterebbe nell'implementazione della retrocompatibilità per i certificati crittografici, con la possibilità di usare quelli con hash SHA-1 nel caso in cui la scelta di default (SHA-2) non risulti compatibile con il browser in uso.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMozilla, il piano per eliminare SHA-1La fondazione del Panda Rosso fornisce nuovi aggiornamenti sul progetto, graduale ma inesorabile, per eliminare completamente il supporto di SHA-1 da Firefox. Avverrà presto, forse anche prima del previsto
  • SicurezzaSHA-1, cresce il rischio di attacchiGli hash crittografici generati con algoritmo SHA-1 sono sempre più a rischio, avvertono i ricercatori: la tecnologia dovrebbe essere abbandonata anche prima dei tempi previsti
  • SicurezzaMicrosoft: stop alla crittografia vulnerabileRedmond si prepara in anticipo alla futura "apocalisse" degli algoritmi crittografici insicuri annunciando l'abbandono di RC4 e SHA-1. I malware capaci di falsificare i certificati di sicurezza sono già in circolazione da anni
17 Commenti alla Notizia SHA-1, si avvicina la fine
Ordina
  • forzare gli aggiornamenti automatici sta diventando indispensabile. L'utonto medio non li applica, rendendo vulnerabile lui e tutti quelli che ha intorno tramite attacchi indiretti.

    Certo, windows 10 è una me**a, e i suoi aggiornamenti scassano più di quello che aggiustano, ma il concetto degli aggiornamenti automatici, se fatti come si deve, è cosa buona e giusta vista la pigrizia umana.
    non+autenticato
  • - Scritto da: michyprima
    > forzare gli aggiornamenti automatici sta
    > diventando indispensabile. L'utonto medio non li
    > applica, rendendo vulnerabile lui e tutti quelli
    > che ha intorno tramite attacchi indiretti.
    >
    > Certo, windows 10 è una me**a, e i suoi
    > aggiornamenti scassano più di quello che
    > aggiustano, ma il concetto degli aggiornamenti
    > automatici, se fatti come si deve, è cosa buona e
    > giusta vista la pigrizia umana.

    Gli aggiornamenti basta disabilitarli e vivi tranquillo, lo dice uno del gruppo degli Espertoidi: i susperaccenti di PI
    http://punto-informatico.it/b.aspx?i=4290694&m=429...
    non+autenticato
  • - Scritto da: Ape e gli Espertoidi ...

    > Gli aggiornamenti basta disabilitarli e vivi
    > tranquillo, lo dice uno del gruppo degli
    > Espertoidi: i susperaccenti di PI
    >
    > http://punto-informatico.it/b.aspx?i=4290694&m=429

    ed è pure sostenuto da innumerevoli cloni pronti a giurare che quella è la soluzione al problema!
    Problema che poi dicono non esistere perché tutti hanno in casa un server di dominio Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • OMG, me l'ero perso.

    Forse fanno bene ad usare OSX.
    Loro.
    non+autenticato
  • - Scritto da: michyprima
    > forzare gli aggiornamenti automatici sta
    > diventando indispensabile. L'utonto medio non li
    > applica, rendendo vulnerabile lui e tutti quelli
    > che ha intorno tramite attacchi
    > indiretti.
    >
    > Certo, windows 10 è una me**a, e i suoi
    > aggiornamenti scassano più di quello che
    > aggiustano, ma il concetto degli aggiornamenti
    > automatici, se fatti come si deve, è cosa buona e
    > giusta vista la pigrizia
    > umana.

    gia: "se fatti come si deve". e' li che tutto crolla.
    non+autenticato
  • significa che l'NSA si e' gia' inculata anche l'SHA-2, il meccanismo e' sempre lo stesso: abbandona la versionn N-2 di cio' che hai gia' vulnerato.
    non+autenticato
  • eppure, eppure, eppure... il tucu ci aveva giurato che era sicurissimo!

    Dovrebbe far consulenza in Mozilla e in Google, gli farebbe risparmiare un sacco di lavoro! Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: eppure
    > eppure, eppure, eppure... il tucu ci aveva
    > giurato che era
    > sicurissimo!
    >
    > Dovrebbe far consulenza in Mozilla e in Google,
    > gli farebbe risparmiare un sacco di lavoro!
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    eh si è un "lavoro" così complicato che può farlo persino un pirla via menu senza aspettare che glielo facciano mozilla e google...

    A bocca aperta
    non+autenticato
  • - Scritto da: Vmware

    > eh si è un "lavoro" così complicato che può farlo
    > persino un pirla via menu senza aspettare che
    > glielo facciano mozilla e
    > google...


    eh sì, infatti articoli ed articoli su firmware che diventano obsoleti e device da buttare se li è inventati babbo natale in persona per portare quelli nuovi!
    non+autenticato
  • Cioè forzare una connessione non sicura...Bella roba. Aggiornare il browser fa schifo?
    non+autenticato
  • Prima di tutto i soldi, milioni di imbecilli spendono nonostante il browser di 10 anni fa.
    non+autenticato
  • Non è solo questione di aggiornare il browser, dipende anche dal sistema operativo (WinXP pre-SP3 *non* supporta lo SHA-1 indipendetemente dal browser). Inoltre, non tutti i browser più nuovi girano su sistemi operativi datati.

    L'azienda per cui lavoro offre sia servizi ai privati, sia (in maniera prevalente) alle aziende. Mentre per i primi quelli toccati sono circa il 1,4% degli utenti (e anche se i numeri assoluti non sono bassi, si è deciso comunque di procedere), per quegli aziendali sono decisamente più alti (dico solo che alcuni utenti hanno chiesto se potevano aggiornare da IE 6 a IEFicoso, soprattutto per i sistemi a2a (la comunicazione non avviene tramite browser, ma client sviluppati ad hoc).

    Il problema è che sta diventando difficile farsi rilasciare certificati SHA-1 e bisogna vedere se nel 2016 sarà ancora possibile.
    non+autenticato
  • - Scritto da: pippuz
    > Non è solo questione di aggiornare il browser,
    > dipende anche dal sistema operativo (WinXP
    > pre-SP3 *non* supporta lo SHA-1 indipendetemente
    > dal browser). Inoltre, non tutti i browser più
    > nuovi girano su sistemi operativi
    > datati.
    >
    > L'azienda per cui lavoro offre sia servizi ai
    > privati, sia (in maniera prevalente) alle
    > aziende. Mentre per i primi quelli toccati sono
    > circa il 1,4% degli utenti (e anche se i numeri
    > assoluti non sono bassi, si è deciso comunque di
    > procedere), per quegli aziendali sono decisamente
    > più alti (dico solo che alcuni utenti hanno
    > chiesto se potevano aggiornare da IE 6 a IEFicoso,
    > soprattutto per i sistemi a2a (la comunicazione
    > non avviene tramite browser, ma client sviluppati
    > ad
    > hoc).
    >
    > Il problema è che sta diventando difficile farsi
    > rilasciare certificati SHA-1 e bisogna vedere se
    > nel 2016 sarà ancora
    > possibile.

    Chiedo scusa per la mia ignoranza in materia.

    Io uso il PC prevalentemente per elaborazioni batch, quindi on-line ci vado poco e niente e mai per cazzeggio o su siti non conosciuti. Lavoro ancora benissimo con XP sp3 pro oltre che con Win 7, e come browser uso FireFox, tenendolo ovviamente aggiornato, e così vorrei continuare finchè possibile.

    A cosa vado incontro, specie su XP, con questo avvento di SHA-2?

    Grazie.
    non+autenticato
  • XP SP3 supporta SAH - 256, quindi non devi temere niente. Quello che in caso avresti dovuto temere era l'impossibilità di poter accedere ai siti che utilizzano i (relativamente) nuovi certificati.
    non+autenticato
  • - Scritto da: Fred Master
    > quindi on-line ci vado poco e niente

    Se proprio vuoi ostinarti a tenere XP, togli il "poco" in quella frase e allora può anche andare bene. Non ti serve a molto aggiornare Firefox e altri sofware se poi girano su un sistema operativo non più aggiornabile. Io disabiliterei totalmente l'accesso a internet se devo restare con XP.
    non+autenticato
  • - Scritto da: Ippero
    > - Scritto da: Fred Master
    > > quindi on-line ci vado poco e niente
    >
    > Se proprio vuoi ostinarti a tenere XP, togli il
    > "poco" in quella frase e allora può anche andare
    > bene. Non ti serve a molto aggiornare Firefox e
    > altri sofware se poi girano su un sistema
    > operativo non più aggiornabile. Io disabiliterei
    > totalmente l'accesso a internet se devo restare
    > con XP.

    XP va benissimo, aggiornare i sistemi non serve a niente, lo conferma anche l'esperto qua: http://punto-informatico.it/b.aspx?i=4290694&m=429...
    non+autenticato
  • - Scritto da: Ape meno gemelli
    > - Scritto da: Ippero
    > > - Scritto da: Fred Master
    > > > quindi on-line ci vado poco e niente
    > >
    > > Se proprio vuoi ostinarti a tenere XP, togli
    > il
    > > "poco" in quella frase e allora può anche
    > andare
    > > bene. Non ti serve a molto aggiornare
    > Firefox
    > e
    > > altri sofware se poi girano su un sistema
    > > operativo non più aggiornabile. Io
    > disabiliterei
    > > totalmente l'accesso a internet se devo
    > restare
    > > con XP.
    >
    > XP va benissimo, aggiornare i sistemi non serve a
    > niente, lo conferma anche l'esperto qua:
    > http://punto-informatico.it/b.aspx?i=4290694&m=429

    Ah beh, se lo conferma LUI! Rotola dal ridere
    non+autenticato