Microsoft xem xét việc chặn các chứng chỉ SHA-1

08:47 | 11/01/2016

Microsoft sẽ xem xét loại bỏ lần lượt các hỗ trợ cho các chứng chỉ TLS sử dụng thuật toán hàm băm SHA-1 vào đầu tháng 6/2016. Quyết định này đã được đưa ra khi các tính toán gần đây cho thấy rằng việc tạo ra va chạm đã nhanh và rẻ hơn so với các dự toán trước đây. Điều đó có thể dẫn đến nguy cơ mất an toàn cho các chứng chỉ này.



SHA-1 là một thuật toán hàm băm, được sử dụng để lấy một giá trị 160 bit từ một đầu vào bất kỳ. Mục đích của nó là sử dụng các va chạm với đầu vào khác nhau để băm cùng một giá trị 160 bit, từ đó tạo ra tính khó giải cho thuật toán. Nhưng trong những năm qua, tính toán hiệu năng cao đã có những bước phát triển nhanh chóng, dẫn dến việc tạo ra các va chạm trở nên nhanh hơn và có giá thành rẻ hơn rất nhiều. Do vậy, thuật toán có thể bị phá vỡ. 

Theo nghiên cứu của Bruce Schneir (www.schneier.com) dựa trên sự phát triển của tính toán mạnh, tội phạm mạng có thể tạo ra các va chạm SHA-1 vào năm 2018 với chi phí khoảng 173.000 USD. Dựa trên cơ sở này, Microsoft dự định sẽ ngừng hỗ trợ việc sử dụng đối với các chứng chỉ mới SSL/TLS sử dụng SHA-1 vào tháng 1/2016 và đối với tất cả các chứng chỉ SSL/TLS SHA-1 vào ngày 1/1/2017. 

Tuy nhiên, các tính toán gần đây chỉ ra rằng việc phá vỡ SHA-1 trong SSL/TLS đều có chi phí thấp hơn từ 75 nghìn USD đến 120 nghìn USD so với dự toán ban đầu (tức là chỉ mất từ 53 nghìn USD đến 98 nghìn USD) bằng cách sử dụng các tài nguyên tính toán có sẵn thông qua các dịch vụ đám mây như Amazon EC2. Điều này đã khiến các nhà cung cấp phải xem xét lại các sản phẩm sử dụng SHA-1 trước năm 2017, khi Microsoft thực hiện lộ trình dừng hỗ trợ cho SHA-1.

Dựa trên những tính toán mới này, Mozilla đã có công bố về việc xem xét dừng sử dụng SHA-1 trước hạn. Ban đầu Mozilla dự định lộ trình dừng sử dụng SHA-1 sẽ được thực hiện theo từng giai đoạn như Microsoft, tức là trình duyệt này sẽ không tín nhiệm bất kỳ chứng chỉ mới nào sử dụng SHA-1 được phát hành sau ngày 1/1/2016 và sẽ không tín nhiệm bất kỳ chứng chỉ nào sử dụng SHA-1 sau ngày 1/1/2017. Tuy nhiên bây giờ họ sẽ xem xét để tiến hành việc đó sớm hơn, vào ngày 1/7/2016. Google cũng đã xem xét một lộ trình tương tự về việc sử dụng SHA-1 trong Chrome.

Cả Microsoft và Mozilla chưa hoàn toàn chắc chắn về việc đẩy nhanh lộ trình này, họ đều nói rằng, cần phải xác định tính khả thi của việc thay đổi này: khi việc dừng hỗ trợ SHA-1 được thực thi sớm thì việc chặn truy cập đến quá nhiều trang web quan trọng có thể dẫn đến những hệ quả không mong muốn. Do đó, có thể cả hai công ty này vẫn phải giữ SHA-1 lâu hơn so với dự định của mình.