En mer sikker type kryptering vil snart være nødvendig å beskytte Internett-brukere’ data, men eldre enheter som ikke har støtte for det.
Mennesker i utviklingsland, som ofte baserer seg på avanserte telefoner som sin viktigste tilkobling til Internett, vil bli rammet hardest av SHA-1 avgang.
Frykt for tap av Internett-brukere i noen av verdens fattigste og mest undertrykte regioner, teknologi-leverandører Facebook og CloudFlare kaller for en mykere overgang til en ny Web-kryptering standard som vil beskytte alt fra sosiale medier nettsteder for online transaksjoner.
Begynnelsen på januar 1, nettlesere vil begynne å blokkere tilgang til nettsteder som bruker hva som er kjent som SHA-1-algoritmen, med mål om å erstatte det med sin etterfølger, SHA-2, innen 2017. Facebook og CloudFlare, som gir sikkerhet og rask tilkoblinger for Web-sider, vil tillate brukere med SHA-2-inkompatible enheter å fortsette å bruke SHA-1, mens de fortsatt sunsetting SHA-1 for resten av verden.
Når Internett-brukere bla gjennom en kryptert nettside, to-veis utveksling av informasjon er beskyttet i en del av en kryptering verktøy som kalles en hash-funksjon. Disse algoritmene slå en melding til en unik virvar av bokstaver og tall som sikrer at den informasjonen som kom fra høyre kilde. Hvis du ser “https” i NETTADRESSEN din, nettstedet du besøker, kan bruke SHA-1. Det er disse områdene som vil begynne å bli blokkert fra en liten bestand av Internett-brukere senere denne uken.
Siden midten av 1990-tallet, to hash-funksjoner har vært den primære beskyttere av forbrukernes nettlesere. Som datakraft synker i pris, og den enkle som verktøy kan være sprukket har vokst. Den andre, kalt MD5-algoritmen, ble pensjonert i 2008 etter at forskere utsatt alvorlige sikkerhetshull. Kostnaden for å etterligne en SHA-1 hash funksjon i dag er anslått til å være rundt $100,000—et tall som vil fortsette å falle.
“Folk har liksom sa:” Hei vi har sett denne filmen før, og vi vet hva som er potensielt kommer, og risikoen blir høyere og høyere,” CloudFlare administrerende DIREKTØR Matthew Prince sier.
Den mest effektive løsningen er å erstatte SHA-1 med mer sofistikerte SHA-2. Men mens MD5 og SHA-1 har blitt kompatibel med forbruker-enheter fra start, SHA-2 ble lansert i 2001. Folk med gamle enheter—hovedsakelig lav-kost-funksjonen telefoner brukes i utviklingsland i Asia og Afrika—kunne være avskåret fra å få tilgang til krypterte nettsider og ikke har ressurser til å oppgradere. CloudFlare estimater 6.08 prosent av nettlesere i Kina ikke har støtte for SHA-2. I Syria er det 3.63 prosent.
Richard Barnes, leder av Firefox sikkerhet hos Mozilla, sier selskapet har funnet bare 3 prosent av Web-fortsatt støtter SHA-1.
“Å avbryte disse brukernes erfaringer er faktisk godt for Web,” Barnes sier. “Med gammel programvare er farlig, i tillegg til å oppfylle brutt kryptografi, gammel programvare, har som regel andre sikkerhets-problemer som er løst i mer gjeldende versjon.”
Hvis det er noen grunn til å fortsette å støtte SHA-1, og det er slik at brukere har tid til å laste ned ny programvare som støtter oppgraderingen, Barnes sier. Firefox faktisk slått av SHA-1-støtte i fjor, men da gjeninnsatt det etter å legge merke til et stort fall i Firefox nedlastinger. Folk med eldre nettlesere kan ikke koble til mozilla.org for å laste ned den nye SHA-2-kompatibel programvare.
Som computing kostnader fortsette å falle, SHA-2 vil etter hvert bli svak, og det er nødvendig å erstatte. Mange av dagens enheter støtter ikke SHA-3. Teknologi som quantum computing kan plutselig gjøre hele linjen av algoritmer umiddelbart knuselig.
“Dette er en øvelse som vi er nødt til å gå gjennom gang på gang på gang,” Prince sier. “Å sette på plass en mekanisme til ansvarlig støtte fortiden, mens migrere til fremtiden er en god ting, og vil gjøre at migrasjon mye enklere.”