ما هو شا-1، ولماذا تقاعده ركلة الآلاف من الإنترنت؟

في اليوم الأول من عام 2016، أنهت موزيلا الدعم لتكنولوجيا تسمى شا-1 في متصفح ويب فايرفوكس. على الفور تقريبا، عكسوا قرارهم، لأنه كان قد قطع وصول الإنترنت الهامة لآلاف، إن لم يكن الملايين من الناس. ولكن ماذا تفعل هذه التكنولوجيا؟ لماذا سوف تقطع الوصول؟ ولماذا يقررون من أي وقت مضى لإزالته في المقام الأول؟

و شا في شا-1 لتقف على خوارزمية هاش الآمنة، وببساطة، يمكنك أن تفكر في ذلك كنوع من مشكلة الرياضيات أو الأسلوب الذي يضاعف البيانات التي يتم وضعها في ذلك. وضعت من قبل وكالة الأمن القومي في الولايات المتحدة الأمريكية، انها عنصر أساسي من العديد من التقنيات المستخدمة لتشفير عمليات نقل هامة على شبكة الإنترنت. طرق التشفير الشائعة سل و تلس، والتي قد تكون قد سمعت عنها، يمكن استخدام وظيفة تجزئة مثل شا-1 لإنشاء الشهادات الموقعة التي تراها في شريط أدوات المتصفح.

ونحن لن تذهب عميقا في الرياضيات وعلوم الكمبيوتر من أي من وظائف شا، ولكن هذه هي الفكرة الأساسية. A “هاش” هو رمز فريد استنادا إلى إدخال أي بيانات. حتى الصغيرة، سلسلة عشوائية من إدخال الحروف في وظيفة التجزئة مثل شا-1 سيعود عدد طويل، مجموعة من الأحرف، مما يجعل من (يحتمل) من المستحيل للعودة سلسلة الأحرف إلى البيانات الأصلية. هذه هي الطريقة التي يعمل بها تخزين كلمة المرور. عند إنشاء كلمة مرور، يتم تجزئة إدخال كلمة المرور وتخزينها بواسطة الملقم. عند عودتك، عند كتابة كلمة المرور الخاصة بك، يتم تجزئة مرة أخرى. إذا كان يطابق تجزئة الأصلي، يمكن افتراض المدخلات لتكون هي نفسها، وسيتم منحك الوصول إلى البيانات الخاصة بك.

وظائف هاش مفيدة في المقام الأول لأنها تجعل من السهل معرفة ما إذا كان المدخلات، على سبيل المثال، ملف أو كلمة مرور، قد تغيرت. عندما تكون البيانات المدخلة سرية، مثل كلمة السر، التجزئة من المستحيل تقريبا عكس واستعادة البيانات الأصلية (المعروف أيضا باسم “مفتاح”). هذا يختلف قليلا عن “التشفير”، الذي يهدف إلى تخليط البيانات لغرض إزالة التخليط في وقت لاحق، وذلك باستخدام الشفرات والمفاتيح السرية. المقصود ببساطة تجزئة لضمان سلامة البيانات – للتأكد من أن كل شيء هو نفسه. جيت، والتحكم في الإصدار وتوزيع البرمجيات لشفرة المصدر المفتوح، يستخدم هاش-1 التجزئة لهذا السبب جدا.

هذا هو الكثير من المعلومات التقنية، ولكن لوضعها ببساطة: تجزئة ليست هي نفس الشيء التشفير، لأنه يستخدم لتحديد ما إذا كان الملف قد تغير.

لنفترض أنك بحاجة إلى زيارة موقع ويب بشكل خاص. البنك الخاص بك، والبريد الإلكتروني الخاص بك، حتى حسابك الفيسبوك كل استخدام التشفير للحفاظ على البيانات التي ترسل لهم خاصة. سوف يوفر موقع ويب محترف التشفير من خلال الحصول على شهادة من سلطة موثوق بها – طرف ثالث، موثوق به للتأكد من أن التشفير على المستوى، الخاص بين الموقع والمستخدم، وعدم التجسس من قبل أي طرف آخر. هذه العلاقة مع الطرف الثالث، والتي تسمى صلاحيات الشهادات، أو كا، أمر بالغ الأهمية، حيث يمكن لأي مستخدم إنشاء شهادة “موقعة ذاتيا”، يمكنك القيام بذلك بنفسك على جهاز يعمل بنظام التشغيل لينوكس مع طبقة المقابس الآمنة المفتوحة. سيمانتيك و ديجيسرت هما شركات كا المعروفة على نطاق واسع، على سبيل المثال.

دعونا تشغيل من خلال سيناريو النظري: كيف المهوس يريد أن يبقي تسجيل الدخول في جلسات المستخدمين خاصة مع التشفير، لذلك التماسات كا مثل سيمانتيك مع طلب توقيع شهادة، أو المسؤولية الاجتماعية للشركات. أنها تخلق مفتاح عمومي ومفتاح خاص لتشفير وفك تشفير البيانات المرسلة عبر الإنترنت. يرسل طلب المسؤولية الاجتماعية للشركات المفتاح العمومي إلى سيمانتيك مع معلومات عن الموقع الإلكتروني. سيمانتيك يتحقق من المفتاح ضد سجله للتحقق من أن البيانات دون تغيير من قبل جميع الأطراف، لأن أي تغيير طفيف في البيانات يجعل تجزئة مختلفة جذريا.

يتم التوقيع على هذه المفاتيح العامة والشهادات الرقمية من قبل وظائف التجزئة، لأن إخراج هذه الوظائف من السهل أن نرى. مفتاح عمومي وشهادة مع تجزئة التحقق من سيمانتيك (في مثالنا)، وهي سلطة، ويؤكد مستخدم كيف المهوس أن المفتاح دون تغيير، وعدم إرسالها من شخص خبيث.

لأن التجزئة من السهل رصد ومستحيل (بعض يقول “الصعب”) لعكس، والتوقيع الصحيح تجزئة التحقق منها يعني أن الشهادة والاتصال يمكن الوثوق بها، ويمكن الموافقة على البيانات التي سيتم إرسالها مشفرة من نهاية إلى نهاية . ولكن ماذا لو لم يكن التجزئة فريدة من نوعها في الواقع؟

كنت قد سمعت من “مشكلة عيد ميلاد” في الرياضيات، على الرغم من أنك قد لا يكون يعرف ما كان يسمى. الفكرة الأساسية هي أنه إذا كنت تجمع مجموعة كبيرة بما فيه الكفاية من الناس، وهناك احتمالات عالية جدا أن اثنين أو أكثر من الناس سوف يكون لها نفس عيد الميلاد. أعلى مما كنت تتوقع، في الواقع، بما فيه الكفاية أنه يبدو وكأنه صدفة غريبة. في مجموعة صغيرة مثل 23 شخصا، وهناك فرصة 50٪ أن اثنين سوف تشترك في عيد ميلاد.

هذا هو الضعف الكامن في جميع التجزئة، بما في ذلك شا-1. نظريا، يجب على الدالة شا إنشاء تجزئة فريدة من نوعها لأي البيانات التي يتم وضعها فيه، ولكن مع تزايد عدد من التجزئة، يصبح من المرجح أن أزواج مختلفة من البيانات يمكن أن تخلق نفس التجزئة. لذلك من الناحية النظرية، يمكن للمرء أن يخلق شهادة غير موثوق بها مع تجزئة متطابقة لشهادة موثوق بها. إذا حصلت على تثبيت هذه الشهادة غير موثوق بها، فإنه يمكن أن تنكر موثوق بها، وتوزيع البيانات الخبيثة.

العثور على تجزئة مطابقة ضمن ملفين يسمى هجوم الاصطدام، وبسبب القوة المتزايدة (وانخفاض تكلفة) الحوسبة، أصبح من الواضح أنه إذا شا-1 لم يتم التقاعد قريبا، وسوف يكون في متناول اليد لجعل شهادات زائفة من أصل تكرارات تجزئة.

الرياضيات وراء هذا هو في الواقع بسيط جدا إذا كنا جعل تخمين المتعلمين لدورات المعالج 2 ^ 14 * 2 ^ 60 للعثور على تجزئة مكررة. أما الأمازون فتأجر الخوادم بمعدل سنتي فقط في الساعة، وإذا استمرت السرعات في الارتفاع وتزداد تكلفة الخادم لكل ساعة، فإن تجاوز هذا العدد من الدورات قد يكلف أقل من 173 ألف دولار بحلول عام 2018. وهذا يعني الحياة الحقيقية سيبيرفيليانز يمكن قريبا قادرة على تحمل إنشاء الشهادات التي تظهر وقعت من قبل السلطات الموثوقة.

ليس فقط هجمات الاصطدام ممكنة، ومن المعروف أن واحد على الأقل هجوم اصطدام واسع النطاق قد حدث بالفعل. مرة أخرى في عام 2012، تم إصابة أجهزة الكمبيوتر من خلال أداة تحديث ويندوز لأن ميكروسوفت كان توقيع شهاداتهم مع تجزئة MD5. هذه الطريقة القديمة لخلق توقيعات التجزئة هو الآن من السهل بشكل لا يصدق لتوليد زوج ل، مما يجعل جميع MD5 توقيع شهادات التجزئة عديمة الفائدة إلى حد ما.

البرمجيات مفتوحة المصدر هاشلكاش يمكن استخدامها على خادم الأمازون من قبل أي شخص عمليا مع الدراية لتوليد أزواج من التجزئة MD5 لانخفاض السعر المنخفض من حوالي 65 سنتا، مع حوالي عشر ساعات. وكما ناقشنا، سيكون قريبا في متناول اليد للقضاء على مشكلة التوقيع مكررة حتى بالنسبة شا-1.

وهذا يعني أن أي موقع على شبكة الإنترنت باستخدام شهادات التشفير وقعت شا-1 يمكن أن يكون قريبا بنفس القدر من الإشكالية مثل تلك التي تستخدم تجزئة MD5. إذا حدث ذلك، يمكن للمستخدمين نقل تدري البيانات الحساسة إلى “رجل في الوسط” تقديم شهادة وهمية مع تجزئة متطابقة، أو حتى السماح شيئا متطورة مثل الاختطاف المحلي لأداة تحديث ويندوز لنشر البرامج الضارة.

باعتبارها واحدة من الأكثر شعبية الحرة والمفتوحة المصدر المتصفحات المتاحة، وكثير نرى موزيلا كسلطة على أمن الإنترنت. ونواياهم جيدة بالتأكيد، وتتفق جميع السلطات تقريبا التي لها مصلحة في الأمن عبر الإنترنت على أنه ينبغي التخلص منها في أقرب وقت ممكن. والحقيقة المؤسفة لهذه المسألة، مع ذلك، هي أن التكنولوجيا القديمة لديها ميل إلى ألا يموت أبدا. (من يقرأ هذا على نظام التشغيل ويندوز زب؟)

شهادات شا-1 تجزئة هي للأسف أكثر شعبية على شبكة الإنترنت من لديهم أي حق في أن يكون، لذلك موزيلا قطع بشكل مسطح قبالة الدعم لهم كتل التشفير لمواقع غير قادرة على تحديث إلى أفضل بكثير شا-2 أو شا-256. مواقع الويب غير قادرة على (أو ببساطة كسول جدا لقضاء الوقت) تحديث سيرتس يمكن قطع تماما من مستخدميها باستخدام فايرفوكس. عندما تأخذ في الاعتبار أن هذا من المرجح أن يحدث في البلدان الأكثر فقرا مع وصول محدود إلى شبكة الإنترنت، فإنه يتعارض مع المبادئ الأساسية موزيلا من الحق في الوصول إلى الإنترنت. وغني عن القول، وسرعان ما عكس موزيلا قرارهم وتحديث فايرفوكس للسماح شرت-1 شورت لفترة محدودة لفترة أطول.

تم إنشاء شا-2 والأسرة ذات الصلة من خوارزميات التجزئة في عام 2001، لذلك كانوا حول واختبارها بدقة، وعلى الأرجح اعتمدت من قبل معظم الخدمات الهامة التي تستخدمها. بالإضافة إلى ذلك، تم الإفراج عن شا-3 أغسطس من عام 2015. ويمكن استخدام يوم واحد لتوقيع شهادات، أو ربما آخر، حتى أكثر تعقيدا طريقة التجزئة سوف تأخذ مكانها.

لا يزال تجزئة شا-1 آمنة بشكل مؤقت، حيث أن الاستثمار في إنشاء زوج تصادم يكلف أكثر من نصف مليون دولار من وقت الخادم في عام 2016. ولكن لا يزال من الممكن، وهذا التهديد يستحق معرفة.

صورة ائتمانات: ليغو فايرفوكس، الكثير من تجزئة، دراماتيك السيارات الاصطدام، ميديا ​​دي بادروني مقابل الإنترنت، من فضلك لا تؤذي مؤلف الويب غير معروف.

ربما يجب أن الترا سر عن كثب.

الجزء مخيف هو أن نصف مليون دولار ليس الكثير من المال. خصوصا عندما المنظمات الغنية مثل المافيا الروسية وحكومات مثل الصين وكوريا الشمالية تدعم القراصنة.

ومن المهم أيضا أن نتذكر أن العديد من بروكسيات هتبس التي تستخدمها الشركات (أساسا أجهزة ميتم المستخدمة للتفتيش الآمن للحزم) أيضا توقيع الحزم باستخدام شا-1، مما يجعل جميع اتصالات سل مكسورة إذا كان المتصفح لا يدعم شا-1. حتى تلك الأجهزة يمكن تحديثها من قبل الشركات التي تجعلها، شا-1 الدعم لن يذهب إلى أي مكان، وإلا بعض الشركات الكبرى هي ستعمل لديها الوقت السيئ الحقيقي.

إذا فهمت هذا بشكل صحيح أنا لا أعتقد أنه سيكون من السهل جدا. إنشاء ملف ضار وظيفي له نفس قيمة التجزئة كما الملف الأصلي سوف يستغرق الكثير من المزيد من العمل والمحاكمة والخطأ.للتخلي عن أنها الأصلي فإنه يجب أن يكون نفس الحجم. يجب أن تحتوي على التعليمات البرمجية الخبيثة ومن ثم يكون كل نوع من البيانات مشوشة المدرجة التي من شأنها أن تسفر عن نفس قيمة التجزئة. يجب أن تقتصر التجربة والخطأ على هذه المنطقة المشوشة / بلا معنى.

للتنكر كما الأصلي فإنه يجب أن يكون نفس الحجم.

هل حقا؟ لماذا ا؟ أيضا، تنطبق هذه المقالة على شهادات موقع الويب، وكذلك الملفات

إذا فهمت هذا بشكل صحيح أنا لا أعتقد أنه سيكون من السهل جدا. إنشاء ملف ضار وظيفي له نفس قيمة هاش كما الملف الأصلي سوف يستغرق الكثير من المزيد من العمل والمحاكمة والخطأ

من الصعب، ولكن كما هو مذكور في المقال مع منصات الحوسبة السحابية اليوم، فإنه يمكن القيام به. حتى إذا كان الملف يجب أن يكون نفس الحجم، فمن الممكن.

حوت العنبر لديه أكبر وأثقل الدماغ من أي كائن حي – حوالي 20 جنيه مع حجم حوالي 490 بوصة مكعب. على العكس من ذلك، يزن الدماغ البشري حوالي 3 رطل ويبلغ حجمه حوالي 80 بوصة مكعبة.

Refluso Acido