اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

عدم امنیت Certificateهای SHA-1 در IE و Edge

طبق سیاست جدید شرکت مایکروسافت، تنها آن دسته از Certificate‌های SHA-1 که توسط شرکت‌های تجاری صدور Certificate صادر شده‌اند کنار گذاشته خواهند شد و Certificate‌های درون سازمانی و یا Self-Signed‌ مشمول این سیاست‌گذاری نمی‌شوند.

به تازگی Certificateهای SSL/TLS که از الگوریتم Hashing قدیمی SHA-1 استفاده نموده‌اند، در به‌روزرسانی‌های جدید Internet Explorer و Microsoft Edge ناامن تلقی می‌شوند. این سیاست به دنبال اقدامات مشابه چند ماه گذشته از سوی Chrome و Mozilla Firefox می‌باشد.

شرکت‌های صادر کننده‌ی Certificate و ارائه‌دهندگان مرورگرها در چند سال گذشته برای پایان بخشیدن به استفاده از Certificate‌های مبتنی بر الگوریتم SHA-1 در فضای وب تلاش کرده‌اند که دلیل آن را می‌توان ناتوانی این الگوریتم در تامین امنیت کافی در برابر حملات Spoofing دانست.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


ایجاد این الگوریتم به سال 1995 بازمی‌گردد اما از سال 2005 آسیب‌پذیری آن در برابر حملات احتمالی آشکار شد، تا جاییکه موسسه‌ی ملی استاندارد و تکنولوژی آمریکا از سال 2010 استفاده از این الگوریتم را برای سازمان‌های فدرال آمریکا را ممنوع نمود، به علاوه شرکت‌های صدور Certificate نیز از سال 2016 مجاز به صدور Certificateهای مبتنی بر SHA-1 نبوده‌اند. (مگر در برخی موارد خاص مانند پایانه‌های قدیمی پرداخت)

‌Hash Functionها که SHA-1 نیز یکی از آن‌ها به شمار می‌رود، جهت پردازش رشته داده‌های مبتنی بر عدد و حروف به کار می‌روند؛ این رشته‌ها در حقیقیت یک فایل یا بخشی از‌ داده‌ها‌ی رمزنگاری‌شده را نمایش می‌دهند. این فرآیند، Digest نام دارد که منحصر‌به‌فرد و بازگشت‌ناپذیر بوده و می‌تواند به عنوان یکDigital Signature نیز عمل نماید.

اخیرا محققان گوگل و مرکز تحقیقاتی CWI با ایجاد حمله‌ای آزمایشی، آسیب‌پذیری این الگوریتم را در عمل نیز اثبات کردند که در نتیجه‌ی آن دو فایل PDF با یک SHA-1 Digest مشابه ایجاد گردید. این مسئله بی‌تردید نشان از ناتوانی این Hash Function قدیمی دارد و لزوم پرهیز از به کارگیری آن در برنامه‌های کاربردی با حساسیت امنیتی بالا را بیان می‌کند.

ارائه‌دهندگان مرورگرها از سال 2015 درنظر داشته‌اند تا با اعلام ناامنی در Certificate‌های SHA-1 مقدمات کنارگذاری کامل آن را فراهم نمایند. Google Chrome و Mozilla Firefox در چند مرحله اقدام به حذف SHA-1 نموده‌اند؛ به این صورت که از اوایل سال 2016 ابتدا آن دسته از Certificate‌های‌ SHA-1 را که تاریخ صدور آنها به بعد از اول ژانویه‌ی 2016 برمی‌گشت و سپس سایر Certificate‌های SHA-1 از جمله نمونه‌های قدیمی که از مدت اعتبار بالایی برخوردار بودند، کنارگذاشتند.

Google با عرضه‌ی نسخه‌ی 56 مرورگر Chrome در ماه ژانویه، اقدام به کنارگذاری تمامی Certificate‌های مبتنی بر الگوریتم مذکور صادر شده توسط CA سرور های بین‌المللی نمود. در نسخه‌ی 57 نیز تمامی Certificateهای مبتنی بر این الگوریتم (حتی Certificateهای صادر شده توسط CA سرورهای Local) ناامن تلقی گردید. با این‌حال با توجه به سیاست‌گذاری‌ برخی سازمان‌ها، راهکاری جهت جلوگیری از اعمال این محدودیت نیز در اختیار آنها قرار می‌گیرد. ( به دلیل استفاده برخی سازمان‌ها از Local Root CAسرورهایی که همچنان از Root Certificateهای Self-Signed مبتنی بر SHA-1 استفاده می‌کنند)

بنابر اعلام مایکروسافت، ممنوعیت اخیر در IE و Edge برای استفاده از SHA-1 تنها بر Certificate‌هایی که Root Certificate آن‌ها در Microsoft Trusted Root Program وجود دارد، اعمال می‌شود.

Certificate‌های سازمانی و Self-Signed که با استفاده از این الگوریتم صادر شده‌اند، فعلا تحت تاثیر این سیاست قرار نخواهند گرفت. اما لازم به ذکر است که مایکروسافت درنظر دارد تا در آینده SHA-1 را از تمام کاربردهای آن در ویندوز حذف نماید.

پکیج آموزشی VMware NSX شرکت APK