Кошка Ночной Луны. Morgenmuffel
10.05.2016 в 14:49
Пишет Всё плохо:Microsoft окончательно определилась со сроками запланированного отказа от SHA-1 в своих продуктах. Устаревший и слабый алгоритм хэширования будет снят с поддержки летом, с выпуском обновления, приуроченного к годовщине Windows 10.
По словам Microsoft, пользователи Microsoft Edge и Internet Explorer сразу это увидят по отсутствию значка замка в адресной строке при заходе на сайты, использующие сертификат SHA-1. Разработчикам факт депрекации станет очевидным, когда они получат доступ к ознакомительной версии Windows (Insider Preview).
В минувшем ноябре Microsoft дала понять, что начнет блокировать сертификаты TLS, использующие SHA-1, с июня будущего года, на полгода раньше, чем планировалось. На прошлой неделе разработчик заявил, что к февралю 2017 года Edge и IE будут повсеместно блокировать SHA-1.
«Это обновление будет спущено на Microsoft Edge под Windows 10 и Internet Explorer 11 под Windows 7, Windows 8.1 и Windows 10; оно затронет лишь сертификаты, привязанные к УЦ в рамках программы Microsoft Trusted Root Certificate, — отметила Microsoft в своем заявлении. — Администраторы сайтов и разработчики смогут получить дополнительную информацию как в Microsoft Edge, так и в Internet Explorer 11 через инструменты разработчика, доступные из консоли F12″.
Microsoft — не единственный вендор, решивший отказаться от SHA-1. В декабре прошлого года такое же намерение огласила Google, и к январю пользователям Chrome уже начала отображаться ошибка при посещении сайта, подписанного по SHA-1. Google обещает, что к январю будущего года или даже к концу июня, одновременно с продуктами Microsoft, ее браузер будет полностью блокировать такие сертификаты. Дедлайн Mozilla тоже определен как 1 января; компания еще в 2014 году объявила, что Firefox перестанет доверять SHA-1.
Ускорение сроков депрекации вызвано успехами специалистов по криптографии и математиков, почти десять лет работающих над практической реализацией коллизии хэшей SHA-1. Решающим фактором стала работа университетских исследователей «Freestart collision for full SHA-1″, в которой рассмотрен способ модификации существующих атак на SHA-1, позволяющий значительно снизить дороговизну и трудоемкость процесса.
Аналогичные атаки на MD5 тоже наблюдались itw, что ускорило депрекацию и этой хэш-функции. Наиболее известен случай с вредоносным ПО Flame, когда использование коллизии позволило атакующим привязать свой сертификат к корневому УЦ Microsoft и, таким образом, выдать зловреда за легитимную, доверенную программу. Этот сфабрикованный сертификат значительно облегчил проведение MitM-атаки с целью раздачи вредоносного ПО через поддельный апдейтер Windows.
threatpost.ru/microsoft-sha-1-deprecation-final...
URL записиПо словам Microsoft, пользователи Microsoft Edge и Internet Explorer сразу это увидят по отсутствию значка замка в адресной строке при заходе на сайты, использующие сертификат SHA-1. Разработчикам факт депрекации станет очевидным, когда они получат доступ к ознакомительной версии Windows (Insider Preview).
В минувшем ноябре Microsoft дала понять, что начнет блокировать сертификаты TLS, использующие SHA-1, с июня будущего года, на полгода раньше, чем планировалось. На прошлой неделе разработчик заявил, что к февралю 2017 года Edge и IE будут повсеместно блокировать SHA-1.
«Это обновление будет спущено на Microsoft Edge под Windows 10 и Internet Explorer 11 под Windows 7, Windows 8.1 и Windows 10; оно затронет лишь сертификаты, привязанные к УЦ в рамках программы Microsoft Trusted Root Certificate, — отметила Microsoft в своем заявлении. — Администраторы сайтов и разработчики смогут получить дополнительную информацию как в Microsoft Edge, так и в Internet Explorer 11 через инструменты разработчика, доступные из консоли F12″.
Microsoft — не единственный вендор, решивший отказаться от SHA-1. В декабре прошлого года такое же намерение огласила Google, и к январю пользователям Chrome уже начала отображаться ошибка при посещении сайта, подписанного по SHA-1. Google обещает, что к январю будущего года или даже к концу июня, одновременно с продуктами Microsoft, ее браузер будет полностью блокировать такие сертификаты. Дедлайн Mozilla тоже определен как 1 января; компания еще в 2014 году объявила, что Firefox перестанет доверять SHA-1.
Ускорение сроков депрекации вызвано успехами специалистов по криптографии и математиков, почти десять лет работающих над практической реализацией коллизии хэшей SHA-1. Решающим фактором стала работа университетских исследователей «Freestart collision for full SHA-1″, в которой рассмотрен способ модификации существующих атак на SHA-1, позволяющий значительно снизить дороговизну и трудоемкость процесса.
Аналогичные атаки на MD5 тоже наблюдались itw, что ускорило депрекацию и этой хэш-функции. Наиболее известен случай с вредоносным ПО Flame, когда использование коллизии позволило атакующим привязать свой сертификат к корневому УЦ Microsoft и, таким образом, выдать зловреда за легитимную, доверенную программу. Этот сфабрикованный сертификат значительно облегчил проведение MitM-атаки с целью раздачи вредоносного ПО через поддельный апдейтер Windows.
threatpost.ru/microsoft-sha-1-deprecation-final...