Google pospeši konec podpore za SHA-1; potrdilni organi živčni

Googlova nedavna objava, da začeli bodo opuščati podporo za SHA-1 Digitalna potrdila TLS/SSL v Chromu naletijo na odpor overiteljev (CA).

Google je svojo napoved objavil 20. avgusta na svojem poštnem seznamu Security-dev, čeprav so na to odločitev opozarjali več mesecev.

SHA-1 je zgoščevalni algoritem, kritična komponenta varne kriptografije. Algoritem zgoščevanja vzame blok podatkov kot vhod in izpiše vrednost določene velikosti (razpršitve SHA-1 so dolge 160 bitov). Ta vrednost se imenuje zgoščena vrednost ali izvleček. Z dobrim algoritmom zgoščevanja bosta dva različna bloka podatkov vedno proizvedla različno zgoščevanje in že majhna sprememba vhodnih podatkov bo povzročila znatno spremembo izhoda. Ne bi smelo obstajati možnosti, da bi izvedeli karkoli o vhodnih podatkih iz zgoščenega izhoda.

Sčasoma varnostni standardi običajno postanejo manj učinkoviti iz dveh razlogov. Raziskave v njih odkrivajo slabosti, zaradi padajočih stroškov računalniške moči pa so računsko zahtevni napadi bolj praktični. Predhodnik SHA-1, MD5, je bil v uporabi precej dlje, kot so bili napadi nanj poceni in enostavni.

Praktičnih napadov na SHA-1 še ni, vendar je samo vprašanje nekaj let, preden se bodo pojavili. To pomeni, da imamo čas, da presežemo SHA-1, preden težave udarijo v resnični svet. Naslednji standard, SHA-2, je serija zgoščenih funkcij z več velikostmi zgoščenih vrednosti: SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 in SHA-512/256. Obstaja tudi SHA-3, vendar je zelo mlad standard brez komercialnih izvedb.

Premik k opustitvi SHA-1 se je resno začel z napoved Microsofta novembra lani da bodo s 1. januarjem 2016 začeli umikati podporo za SHA-1 v svojem programu korenskih potrdil in s 1. januarjem 2017 ukinili podporo za SSL potrdila SHA-1. Windows od 1. januarja 2016 ne bo več sprejemal potrdil za podpisovanje kode z zgoščenimi vrednostmi SHA-1.

CA-ji, vsaj kot jih zastopa Varnostni svet CA (CASC), so javno podpirali Microsoftovo politiko. Google se je odločil, da je potrebno hitrejše ukrepanje.

Googlov predlog je narediti naslednje spremembe Chromiumove obdelave SHA-1 (to je citat):

• Vsa potrdila, ki uporabljajo SHA-1 in so veljavna PO 2017/1/1, se obravnavajo kot nevarna, vendar brez vmesnega elementa. To pomeni, da bodo prejeli poslabšan indikator uporabniškega vmesnika, vendar uporabniki NE bodo usmerjeni, da kliknejo stran z napako.
  
• Poleg tega bo blokator mešane vsebine naučen, da jih obravnava kot mešano vsebino, ki bo za interakcijo zahtevala dejanje uporabnika.
  
• Vsa potrdila, ki uporabljajo SHA-1 in so veljavna PO 2016/1/1, se obravnavajo kot nevarna, vendar brez vmesnega elementa. Prejeli bodo poslabšan indikator uporabniškega vmesnika, vendar NE bodo obravnavani kot mešana vsebina.

Torej, ko je to implementirano v Chromu in uporabnik prek https brska po spletnem mestu s potrdilom SHA-1, ki je veljavno po 1. januarja 2016 bo uporabniški vmesnik Chroma prikazal ključavnico z rdečim "x" in https z rdečo poševnico, kot je prikazano v bližini.

Posodobljeno 2. septembra: Google je pojasnil časovni razpored opustitve. Ugotavljajo, da gre za objavo "namere", ne za "obljubo", da bodo te funkcije izvajali po tem urniku. Iščejo prispevke. Pojasnjen načrt za spremembe predvideva, da se začnejo v Chromu 39 (izdan v stabilni kanal čez približno 9–12 tednov) in se razširijo na Chrome 41 (čez 21–24 tednov). Za vse podrobnosti kliknite zgornjo povezavo.

Ne pozabite, da bo Microsoft s 1. 1. 2017 prenehal podpirati potrdila SHA-1 in zdi se, da obstaja splošno soglasje, da bo to zanje dejansko konec linije. Kljub temu je v skladu s smernicami CA/foruma brskalnika sprejemljivo, da CA prodajajo potrdila SHA-1 z življenjsko dobo po tem datumu. Upoštevajte izkušnjo Mika Westa iz Googla, ki pravkar kupil petletno potrdilo SHA-1 od prodajalca Comodo.

Kdaj bo Google uvedel to spremembo? Trdil bi, da je to nejasno, vendar CASC trdi da je urnik za Chrome 39. Trenutna stabilna različica je Chrome 37. To mi je povedal uslužbenec Symanteca Google je za cilj postavil Chrome 39 v nedavnem konferenčnem klicu članov CA/Browser Forum. in v razpravi o poštnem seznamu 12. avgustaRyan Sleevi, višji programski inženir pri Googlu, ki dela na kriptografiji v platformi Chromium, zagotovo pravi, da namerava izvesti spremembo v Chromu 39.

Pravzaprav so prve različice Chroma 39 za razvijalce in kanarčke izšle čez vikend in ne izvajajo predlaganega vedenja. Sleevi pravi, da se ne izvaja in to "... je še vedno v fazi aktivnega pregleda in razprave." Obstaja opredeljen postopek za zastarela funkcija v Chromiumu. Videti je dolgo in zapleteno in zdi se mi težko, da bi to naredil s Chromom 39.

CASC na podlagi predpostavke implementacije v Chrome 39 pravi, da je Google preveč agresiven. Razpored za Chrome 39 naj bi bil izdan v stabilnem kanalu konec novembra ali približno konec novembra, na vrhuncu praznične nakupovalne sezone. Če potrošniki začnejo videti nekaj, kar je videti kot napaka HTTPS, kar jim je bilo rečeno, da jemljejo kot opozorilo o morebitni goljufivi dejavnosti, je lahko rezultat izgubljena prodaja za komercialna spletna mesta.

Moje osebno mnenje o tem je mešano; izvajanje tega pravilnika, preden se praznična sezona varno konča, bi bila napaka in nepošteno iz dveh glavnih razlogov: CASC ima prav da bi to povzročilo veliko zmede pri uporabnikih ob slabem času in da je nepošteno izvesti takšno spremembo s tako malo uradnega obvestila.

Toda poleg tega sem popolnoma na Googlovi strani. Večja podjetja za programsko opremo so morale CA-je na splošno prisiliti k izvajanju varnostnih napredkov, tako rekoč z orožjem. CA-ji so v tem kontekstu samo približek za uporabnike. CA nimajo razloga, da bi nasprotovali naprednim standardom, razen če izgubijo posel. Njihov ugovor zdaj je, da še vedno obstajajo stranke, ki "potrebujejo" potrdila SHA-1, tako da bodo stranke, če bodo prenehale prodajati SHA-1, preprosto odnesle svoje podjetje drugam. (Mimogrede, ta epizoda je, če mene vprašate, dokaz močne konkurence na trgu digitalnih potrdil.)

Kdo v današnjem času potrebuje SHA-1? V manjši meri obstaja problem starih varnostnih naprav in terminalov na prodajnih mestih, ki še niso bili ali jih morda celo ni mogoče posodobiti, vendar to ni pravi problem. Pravi problem je Windows XP SP2. Da, SP2.

Zaposleni pri Cloudflare, CA (čeprav to ni njihova glavna dejavnost), se je odzval na Googlovo objavo s tem: "... velik odstotek spletnih obiskovalcev naših strank uporablja Windows XP SP2, ki ne podpira SHA-256." To mi je povedal tudi CASC.

Težko je reči nekomu, ki uporablja Windows XP SP2, ki je dosegel konec podpore pred več kot štirimi leti, da so negotovi zaradi omejitev v njihovi podpori za kriptografsko zgoščevanje. Vsaj to jim je težko povedati z odkritim obrazom. Jasno je, da imajo takšni uporabniki večje varnostne težave kot pomanjkanje podpore SHA-2.

Ne, to je zgolj poslovni problem. Ti uporabniki so odločeni, da ne bodo nadgradili svojega operacijskega sistema. In dokler bo tako, bodo CA-ji dajali ljudem, kar hočejo.

CA-ji z ​​veseljem prodajajo certifikate SHA-2 in poročajo, da ta prodaja hitro raste. Vendar še vedno prodajajo veliko SHA-1 in prodajajo te certifikate z dolgo življenjsko dobo. Googlov Sleevi naredil nekaj štetij na podlagi telemetrije podjetja in ugotovil, da so vsi veliki CA izdali veliko število potrdil SHA-1 z življenjsko dobo v letu 2016 (skoraj 670.000) in celo v 2017 (skoraj 300.000).

Torej, če Google res razmišlja o uvedbi te spremembe pred novim letom, dela napako. To je nepošteno in nepotrebno. Toda bolj agresiven od Microsoftovega urnika? Nič narobe s tem. Več časa ko daste uporabnikom, več si bodo vzeli in se nato pritoževali, da jim ne daste še več. Vedno je tako. Tako agresivni Google dela CA-jem uslugo. CA ne morejo svojim strankam zagotoviti boljše varnosti, Google pa lahko.

Posodobljeno 2. septembra: Ker je Google razjasnil svoj urnik, da bi potrdil, da bodo spremembe načrtovane do počitniške sezone, bom ponovil svoje ugovore. Priporočamo, da te spremembe preložijo pred dvema izdajama. Treba je omeniti, da trenutno bistvo sprememb ni neposredna pomoč uporabniku, temveč pritisk na lastnike spletnih mest in overitelje potrdil z grožnjami z zmedo uporabnikov. Potrdilo SHA-1, ki poteče naslednji teden, danes ni nič bolj varno kot tisto, ki poteče leta 2017. Pošteno je, da Google da več časa, kot ga daje zdaj. https://www.google.com/ sam uporablja SHA1 v svojem potrdilu, čeprav imajo Googlovi certifikati le trimesečno življenjsko dobo. Google lahko opravi trimesečno življenjsko dobo, ker je njihov lastni overitelj potrdil. Manjša podjetja morajo plačati za certifikate, ki so cenejši z daljšo življenjsko dobo.