Thuật toán SHA-1 (Secure Hash Algorithm 1 hay còn được gọi là thuật toán mảng băm an toàn) từng được sử dụng rộng rãi để thay thế cho chuẩn MD5. Nhưng với những vấn đề về bảo mật, công nghệ này chuẩn bị bị thay thế.
Trong một bài blog của mình, Microsoft chỉ ra rằng SHA-1 không còn an toàn nữa, có nhiều sơ hở khiến những kẻ tấn công có thể sử dùng kỹ thuật “spoof”, tấn công “phising” hay tấn công “man-in-the-middle”. Từ ngày 14/2, Microsoft Edge và Internet Explorer 11 sẽ không còn tự động tải một trang web sử dụng SHA-1 nữa. Thay vào đó chúng sẽ hiện lên một cảnh báo đến người dùng về chứng chỉ không hợp lệ của trang web trước khi họ đi xa hơn.
“Microsoft, trong việc hợp tác với những thành viên khác trong nền công nghiệp, đang làm việc để loại bỏ SHA-1”– Microsoft nói. Những người chủ website đang được thúc giục để nâng cấp chứng chỉ của mình lên ASAP.
Thông tin này chỉ đến vài ngày sau khi Google có một thông báo tương tự, giải thích rằng Chrome 56 không còn hỗ trợ thuật toán băm đã lỗi thời. Chrome 56 được ấn định sẽ được tung ra vào tháng 1 nhưng kế hoạch này đã được công ty suy xét từ hơn 1 năm trước.
Tương tự, Firefox của Mozilla cũng chuẩn bị ngừng hỗ trợ SHA-1 đầu năm tới. Vì vậy có lẽ những trình duyệt lớn sẽ bỏ SHA-1 lại phía sau trong năm 2017.
“Chữ ký số được tạo ra bởi SHA-1 có thể bị làm giả được bởi những công nghệ tân tiến” – Trích lời J.C.Jones của Mozilla tháng trước khi giải thích nguyên nhân động thái này của công ty. Những thuật toán mảng băm đang trở nên lỗi thời với sự phát triển của toán học và xử lý máy tính.
Còn nhớ trong quá khứ, thuật toán MD5 được ưa chuộng rộng rãi cho đến khi nó bị thay thế bởi chuẩn mới SHA-1. Nhưng Google đã lưu ý với mọi người rằng, “SHA-1 đã bị lộ điểm yếu của mình 7 năm về trước”. Cho nên việc chuyển đổi thuật toán đã được chuẩn bị từ lâu rồi.
“Việc khó khăn là chúng ta phải đủ dũng cảm để ngừng sử dụng chuẩn SHA-1 càng sớm càng tốt và bạn luận với đội ngũ bảo mật của họ trước khi cho phép chính sách”– Trích lời Andrew Whalley đến từ đội bảo mật của Google Chrome.
Một vài vụ hack và đánh cắp dữ liệu gần đây điển hình như của Last.fm đã chỉ ra mối nguy hại thường trực đối với những website sử dụng SHA-1 hay thậm chí là MD5.
