Hôm thứ Năm vừa rồi (23/2), nhóm nghiên cứu Google công bố họ đã bẻ gãy thành công SHA-1, hay Secure Hash Algorithm 1, loại mã hóa sử dụng trong một số tài liệu PDF.
Điều này có nghĩa là một phương pháp bảo mật internet mà từ nhiều năm nay theo lý thuyết đã bị coi là có chứa lỗ hổng thì giờ đã được chứng minh là thực sự chứa lỗ hổng. Và điều đó có nghĩa là bây giờ những hệ thống nào còn sử dụng kiểu mã hóa cũ kỹ này phải mau chóng cập nhật.
Theo chính sách công bố thông tin về lỗ hổng của công ty, Google có kế hoạch để phát hành những đoạn code sử dụng để phá vỡ các mã hóa SHA-1 trong vòng 90 ngày nữa kể từ bây giờ. Về cơ bản thì những dòng code này sẽ là một dạng chỉ dẫn để giúp những kẻ tấn công phá vỡ các thuật toán. Bất cứ hệ thống nào vẫn còn sử dụng thuật toán này sẽ trở nên dễ bị tổn thương hơn nữa.
"Trong tương lai, điều cấp bách hơn bao giờ hết đó là các chuyên viên bảo mật phải chuyển sang dùng các hash mã hóa an toàn hơn", bài đăng trên blog của công ty viết.
SHA-1 có thể được sử dụng để mã hóa các tài liệu điện tử (bao gồm cả các tài liệu pháp lý), giao dịch thanh toán, email và các file đính kèm email.
Thuật toán này "được sử dụng rất rộng rãi. Chúng tôi không thể định lượng được, nhưng SHA-1 được sử dụng rộng rãi vô cùng", Elie Bursztein, nhà nghiên cứu tại trụ sở của Google chia sẻ. Ông cũng giải thích rằng SHA-1 đã được sử dụng trong nhiều năm “vì vậy rất nhiều người vẫn đang sử dụng những hệ thống cũ” tích hợp loại mã hóa này.
Người đứng đầu nghiên cứu là ông Marc Stevens, nhân viên khoa học máy tính viện nghiên cứu Centrum Wiskunde & Informatica Hà Lan. Ông Stevens cho biết nghiên cứu về SHA-1 của ông, được chính phủ Hà Lan tài trợ, đã bắt đầu từ năm 2009.
Google bắt đầu làm việc với Stevens từ năm 2015, theo Bursztein. Ông cho hay công ty đã đóng góp kinh phí cho nghiên cứu này bao gồm cơ sở hạ tầng cho việc tính toán, thời gian phát triển và chuyên môn.
SHA-1 bắt đầu được sử dụng từ đầu năm 1995, khi Internet dần trở nên phổ biến với người mọi người, theo Stevens. Nhưng cộng đồng an ninh mạng "không hề biết rằng công cụ mã hóa này yếu, thực sự yếu, cho đến năm 2005, vì vậy không họ có động lực rõ ràng để sử dụng một công cụ nào đó mạnh hơn."
Theo trang Ars Technica, các hệ thống quản lý phát triển phần mềm phổ biến Git là đối tượng sử dụng các thuật toán này nhiều nhất.
Bất kỳ công ty phần mềm nào ra đời từ cách đây khá lâu, bao gồm cả Google, cũng đều có sử dụng SHA-1, theo Bursztein. Nhưng ông khẳng định các hệ thống bảo mật quan trọng của Google không dựa trên những thuật toán có chứa lỗ hổng.
Nguồn tin từ:chonsodepvina.blogspot.com
Không có nhận xét nào:
Đăng nhận xét