Microsoft намерена удалить все загрузки Windows, подписанные с SHA-1
31.07.20 14:02
Все файловые загрузки Windows, подписанные с использованием алгоритма криптографического хэширования Secure Hash Algorithm 1 (SHA-1), будут удалены из центра загрузки Microsoft 3 августа 2020 года.
Алгоритм SHA-1 обычно использовался для кодирования подписи исполняемых файлов, а также TLS- и SSL-сертификатов, используемых на web-сайтах для проверки подлинности издателя. Теоретическое описание взлома хэш-функций SHA-1 было опубликовано еще в 2005 году, но на практике осуществить атаку удалось лишь спустя 12 лет, сообщает Securitylab.
Из-за проблем с сертификатами SHA-1 Microsoft и другие разработчики отказались от использования SHA-1 и теперь требуют использовать SHA-2 для установки обновлений Windows.
«Чтобы поддерживать развивающиеся отраслевые стандарты безопасности и продолжать обеспечивать защиту и продуктивность пользователей, Microsoft откажется от контента, подписанного с помощью SHA-1. Это будет следующий шаг в наших постоянных усилиях по принятию SHA-2, который лучше соответствует современным требованиям безопасности и предлагает дополнительную защиту от распространенных векторов атак», — сообщили представители компании.
По словам Microsoft, SHA-1 является устаревшим, и многие представители ИБ-сообщества давно считают его небезопасным. Использование алгоритма хеширования SHA-1 в цифровых сертификатах может позволить злоумышленнику подделать контент, выполнить фишинговые атаки или осуществить MitM-атаки.