HollantilaisetnCWI-insituutin ja Googlen tutkijat ilmoittivat eilen, että SHA-1-suojausstandardi on ensimmäisen kerran murrettu käytännössä. Tutkijat muistuttavat, että monet sovellukset käyttävät edelleen SHA-1-salausta, vaikka NIST hylkäsi sen haavoittuvuuksien takia virallisesti jo vuonna 2011.

Tutkijoiden mukaan ongelma on ennen kaikkea siinä, että iso osa teollisuutta siirtyy tuoreempiin salaustekniikoihin ja -standardeihin liian hitaasti.

CWI:n tutkija Marc Stevens ja Googlen Elie Bursztein aloittivat tutkimuksensa jo kaksi vuotta sitten. Tavoitteena oli murtaa SHA-1-salaus, jota käytetään internetviestien digitaaliseen allekirjoitukseen. Nämä ovat keskeisiä esimerkiksi salatussa HTTPS-liikenteessä, pankkiyhteyksissä ja ohjelmistojen digitaalisten oikeuksien takaamisessa.

Tutkijat käyttivät tekniikkaa, jossa samaa SHA-1-allekirjoitusta voidaan hyödyntää toisen tiedoston todentamisessa. Salauksen murtavan hyökkäyksen kehittäminen oli suuri laskentaurala ja Burszteinin mukaan se vaati yli 6500 vuoden CPU-laskennan ja sadan vuoden prosessoinnin grafiikkaprosessoreilla.

Löydetty menetelmä on kuitenkin satatuhatta kertaa nopeampi kuin salauksen murtamisen ns. brute force -menetelmällä, jossa kaikki mahdollisia salausavaimia kokeillaan niin kauan kunnes oikea löytyy. Laskentaan käytettiin Googlen omaa pilvipohjaista palvelinjärjestelmää, jota Google käyttää esimerkiksi tekoälyprojekteissaan.

SHA-salauksesta on olemassa jo versiot 2 ja 3. Analyytikoiden mukaan 2-versio saatetaan murtaa jopa nopeastikin, mutta NIST:n vuonna 2015 stndardoima SHA-3 on vaikeampi murtaa. Tietystikään SHA-1:n murtaminen ei sekään onnistu keneltäkään peruskäyttäjältä.