Microsoft намерена удалить все загрузки Windows, подписанные с SHA-1
30 июля 2020 года
Все файловые загрузки Windows, подписанные с использованием алгоритма криптографического хэширования Secure Hash Algorithm 1 (SHA-1), будут удалены из центра загрузки Microsoft 3 августа 2020 года.
Алгоритм SHA-1 обычно использовался для кодирования подписи исполняемых файлов, а также TLS- и SSL-сертификатов, используемых на web-сайтах для проверки подлинности издателя. Теоретическое описание взлома хэш-функций SHA-1 было опубликовано еще в 2005 году, но на практике осуществить атаку удалось лишь спустя 12 лет. В 2017 году ученым впервые удалось создать два файла с одинаковым хэшем SHA-1. Атака получила название SHAttered.
Из-за проблем с сертификатами SHA-1 Microsoft и другие разработчики отказались от использования SHA-1 и теперь требуют использовать SHA-2 для установки обновлений Windows.
«Чтобы поддерживать развивающиеся отраслевые стандарты безопасности и продолжать обеспечивать защиту и продуктивность пользователей, Microsoft откажется от контента, подписанного с помощью SHA-1. Это будет следующий шаг в наших постоянных усилиях по принятию SHA-2, который лучше соответствует современным требованиям безопасности и предлагает дополнительную защиту от распространенных векторов атак», — сообщили представители компании.
По словам Microsoft, SHA-1 является устаревшим, и многие представители ИБ-сообщества давно считают его небезопасным. Использование алгоритма хеширования SHA-1 в цифровых сертификатах может позволить злоумышленнику подделать контент, выполнить фишинговые атаки или осуществить MitM-атаки.
Источники[править]
Эта статья содержит материалы из статьи «Microsoft намерена удалить все загрузки Windows, подписанные с SHA-1», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.